表名为变量时防止sql注入

最新推荐文章于 2024-02-27 10:41:14 发布

原创最新推荐文章于 2024-02-27 10:41:14 发布 · 893 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#sql #数据库

文章讨论了在使用Fortify进行静态代码安全扫描时，如何处理允许的数据库和表名。示例代码展示了在表名可控范围内构造查询是安全的，但完全动态的表名可能无法通过扫描。使用PreparedStatement预编译SQL语句可以提高安全性。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

要过fortify之类的静态代码安全扫描。

public static final String[] ALLOWED_DATABASE = {}；
public static final String[] ALLOWED_TABLE = {}；
String query = "select id from " + ALLOWED_DATABASE[dbIndex] + "." + ALLOWED_TABLE[tableIndex] + " where 1=1";

PreparedStatement ps = connection.prepareStatement(query);

在表名在可控的一个范围内，这样是可以的。完全任意的动态表名还是过不了代码扫描

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

daggerin7

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

MyBatis使用${}时动态表名或动态排序为什么会被注入攻击？是怎么实现的注入的，代码中要如何防范这种动态sql注入？

eguid音视频技术分享（JavaCV教程、FFmpeg教程、openCV图像处理教程、音视频教程）

03-14

923

在 MyBatis 中，如果动态查询 SQL 语句是像这样使用字符串拼接的方式来构建，其中的是动态传入的表名参数，存在被注入的安全风险。这种情况下，恶意用户可以通过构造特定的输入来注入恶意代码，从而执行未经授权的数据库操作。具体来说，当用户能够控制动态 SQL 中的参数，并且这些参数没有经过正确的验证和处理时，就会存在注入风险。如果参数直接从用户输入获取并拼接到 SQL 语句中，恶意用户可以通过在输入中添加 SQL 注入语句来改变 SQL 的逻辑，可能导致数据泄露、数据篡改或数据损失等危害。

SQL绑定变量为何能防止SQL注入？

MyySophia的博客

12-03

549

create table sor.dt_user ( UserID int, ManagerID int, Name varchar(10) ) insert into sor.dt_user select 1,-1,N'Boss' union all select 11,1,N'A1' union all select 12,1,N'A2' union all sel...

参与评论您还未登录，请先登录后发表或查看评论

mysql 动态表名_如何使用动态表名防止SQL注入？

weixin_39827589的博客

02-07

1925

如何使用动态表名防止SQL注入？我这次讨论的名声很高PHP盖伊：PDO在这里没用。以及MySQL_REAL_EXECH_String。质量极差。这当然很酷，但我真的不知道建议使用mysql_real_escape_string或PDO修复此代码：varlayer;window.location.href="example3.php?layer="+layer;...

如何避免SQL注入漏洞

sdbany的专栏

12-09

3018

使用String来拼装SQL语句，会容易产生注入漏洞。而使用参数来传递SQL参数值，则可以避免注入漏洞，这个和用什么工具框架没有关系。在JAVA里，可以使用preparedStatement来避免的：PreparedStatement pstmtDelete = conn.prepareStatement( "DELETE FROM student WHERE stu_id>=?");

SQL注入如何防止SQL注入

08-14

SQL注入如何防止SQL注入SQL注入如何防止SQL注入SQL注入如何防止SQL注入

mybatis动态SQL防止SQL注入

最新发布

zcclzu的博客

02-27

780

1.预编译语句是什么通常我们的一条SQL在db接收到最终执行完毕返回可以分为下面三个过程：语法和语义解析、优化SQL语句，制定执行计划、执行并返回结果。我们把这种普通语句乘坐Immediate Statements。但是很多情况，我们的一条SQL语句可能会反复执行，或者每次执行的时候只有个别的值不同（比如query的where子句值不同，update的set子句值不同，insert的values值不同）。如果每次都需要经过上面的语法语义解析、语句优化、制定执行计划等，则效率就明显不行了。

简单高效防注入攻击的动态多参数、动态SQL语句拼接方法，提高网站的安全性

通用权限管理系统

10-24

2877

并非人人是高手，并非人人是神仙，我也有不懂的地方，我也有不注意的技术问题，多交流多学习就是最好的提高方法 其实对与初学者来说，进行的动态的查询语句拼接也不是那么好做的事情，就是做出来了，也未必是经得起考验的足够灵活好用的，未必是能拿得出手可以进行推广的，是否能拿得出就是其中的关键。 今天检查公司的软件项目质量，发现有2个同事写的程序存在SQL注入攻击的漏洞，当然也不能怪罪人家，他们也是刚参加工作1-2年，还没有那么丰富的技术经验、安全意

【Mysql优化安全】防止sql注入

weixin_44823875的博客

05-20

6806

【Mysql安全】防止sql注入（1）什么是sql注入（2）寻找sql注入的方法（3）mybatis是如何做到防止sql注入的（3.1）sql对比（3.2）简单分析（3.3）底层实现原理（3.4）总结#{}和${}的区别（3.5）总结（3.6）如果手工处理“${xxx}”（3）常见的sql注入问题：数据库查询参数的类型转换处理（4）防范sql注入的思路（5）放置sql注入的方法（1）什么是sql注入（1）概念 “SQL注入”是一种利用未过滤/未审核用户输入的攻击方法（“缓存溢出”和这个不同），意思就是让

表名动态生成拼接到sql语句的sql注入问题

dhklsl的专栏

11-15

8043

背景：根据业务需要，每个月生成一张根据年份和月份的表，然后当前的数据存到当前月份的表。关键代码如下： String tabName = "tabsaveevent" + strYear + strMonth; String sqlSave = "insert into " + tabName + " (id,serializeObj,methodName,createTi...

JPA通过Statement拦截器动态修改sql表名

qq_42893430的博客

12-25

1883

前言jpa是通过对实体上注解表名的方式来绑定对象和数据库表的关系，并进行读写的。但有时我们会需要动态的读写表，比如同一张表带日期后缀名table_yyyyMM。本文介绍如何使用拦截器来达到这一目的。

mybatis+mysql自动生成32位uuid主键策略

淡淡的博客

09-29

4543

<insert id="insert" parameterType="com.bd.pojo.Book" > <selectKey keyProperty="id" resultType="String" order="BEFORE"> select replace(uuid(),'-','

concat mysql sql注入_MySQL 及 SQL 注入与防范方法

weixin_39586265的博客

12-20

439

所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。我们永远不要信任用户的输入，我们必须认定用户输入的数据都是不安全的，我们都需要对用户输入的数据进行过滤处理。1.以下实例中，输入的用户名必须为字母、数字及下划线的组合，且用户名长度为 8 到 20 个字符之间：if (preg_match("/^\w{8,20}$/",...

既然${}可能会造成SQL注入，为什么还需要用，或者为什么还保留它？

weixin_41072572的博客

09-03

467

【代码】既然${}可能会造成SQL注入，为什么还需要用，或者为什么还保留它？

动态表名防止sql注入

09-29

为了防止动态表名的SQL注入攻击，我们可以采用以下方法： 1. 使用预编译语句：使用预编译语句可以将SQL语句和参数分开处理，从而避免了SQL注入攻击的风险。在MyBatis中，可以使用#{tableName}来表示动态表名，而...