【项目问题解决】% sql注入问题

目录

【项目问题解决】% sql注入问题


文章所属专区 项目问题解决


1.问题描述

在处理接口入参的一些sql注入问题,虽然通过MyBatis框架的一些特点处理了大部分sql注入问题,但还有一些是没法处理,比如这种 param LIKE CONCAT(CONCAT('%','%'),'%') 这种情况,%无法预编译或者转义成%导致去数据库查询了全表。

2.问题原因

MyBatis转义失败;

前端没有现值特殊字符;

后端没有过滤特殊字符;

3.解决思路

1.前端限制禁止传入特殊字符

2.后端限制禁止传入特殊字符,例如swagger限制字符传入,但似乎只在POST请求有效

3.后端拦截特殊字符

4.解决方案

1.前端限制传入特殊字符

2.后端拦截特殊字符-正则表达式

java 复制代码
  public static void main(String[] args) {
        String text = "Hello%World";
        boolean hasSpecialChar = text.matches(".*[%].*");
        if (hasSpecialChar) {
            System.out.println("字符串中包含特殊字符%");
        } else {
            System.out.println("字符串中不包含特殊字符%");
        }
    }

.*表示匹配0个或多个字符

%\]表示匹配字符 % ### 3.后端拦截特殊字符-拦截器 ```java import javax.servlet.*; import javax.servlet.annotation.WebFilter; import java.io.IOException; @WebFilter("/*") public class SpecialCharacterFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { // 初始化操作 } @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { // 获取请求参数 String parameter = servletRequest.getParameter("param"); // 检查参数中是否带有特殊字符 % if (parameter != null && parameter.contains("%")) { // 拦截请求 servletResponse.getWriter().write("请求参数中含有特殊字符 %"); return; } // 继续处理请求 filterChain.doFilter(servletRequest, servletResponse); } @Override public void destroy() { // 销毁操作 } } ``` ## 5.总结 ## 6.参考 给个三连吧 谢谢谢谢谢谢了 ![在这里插入图片描述](https://file.jishuzhan.net/article/1738301990221385729/3b20c54b775dc1777e424c8498578049.webp)

相关推荐
晓1313几秒前
JavaScript加强篇——第七章 浏览器对象与存储要点
开发语言·javascript·ecmascript
用户40315986396636 分钟前
多窗口事件分发系统
java·算法
用户40315986396638 分钟前
ARP 缓存与报文转发模拟
java·算法
小林ixn11 分钟前
大一新手小白跟黑马学习的第一个图形化项目:拼图小游戏(java)
java
nbsaas-boot24 分钟前
Go语言生态成熟度分析:为何Go还无法像Java那样实现注解式框架?
java·开发语言·golang
javadaydayup25 分钟前
别再逐个注入了!@Autowired 批量获取接口实现类的核心逻辑拆解
spring
hi0_627 分钟前
03 数组 VS 链表
java·数据结构·c++·笔记·算法·链表
朝如青丝暮成雪_31 分钟前
java的三大特征
java
用户05956611920932 分钟前
Java 8 + 特性与 spring Boot 及 hibernate 等最新技术实操内容全解析
java·架构·设计
xiaocainiao88134 分钟前
Python 实战:构建可扩展的命令行插件引擎
开发语言·python