【项目问题解决】% sql注入问题

目录

【项目问题解决】% sql注入问题


文章所属专区 项目问题解决


1.问题描述

在处理接口入参的一些sql注入问题,虽然通过MyBatis框架的一些特点处理了大部分sql注入问题,但还有一些是没法处理,比如这种 param LIKE CONCAT(CONCAT('%','%'),'%') 这种情况,%无法预编译或者转义成%导致去数据库查询了全表。

2.问题原因

MyBatis转义失败;

前端没有现值特殊字符;

后端没有过滤特殊字符;

3.解决思路

1.前端限制禁止传入特殊字符

2.后端限制禁止传入特殊字符,例如swagger限制字符传入,但似乎只在POST请求有效

3.后端拦截特殊字符

4.解决方案

1.前端限制传入特殊字符

2.后端拦截特殊字符-正则表达式

java 复制代码
  public static void main(String[] args) {
        String text = "Hello%World";
        boolean hasSpecialChar = text.matches(".*[%].*");
        if (hasSpecialChar) {
            System.out.println("字符串中包含特殊字符%");
        } else {
            System.out.println("字符串中不包含特殊字符%");
        }
    }

.*表示匹配0个或多个字符

%\]表示匹配字符 % ### 3.后端拦截特殊字符-拦截器 ```java import javax.servlet.*; import javax.servlet.annotation.WebFilter; import java.io.IOException; @WebFilter("/*") public class SpecialCharacterFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { // 初始化操作 } @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { // 获取请求参数 String parameter = servletRequest.getParameter("param"); // 检查参数中是否带有特殊字符 % if (parameter != null && parameter.contains("%")) { // 拦截请求 servletResponse.getWriter().write("请求参数中含有特殊字符 %"); return; } // 继续处理请求 filterChain.doFilter(servletRequest, servletResponse); } @Override public void destroy() { // 销毁操作 } } ``` ## 5.总结 ## 6.参考 给个三连吧 谢谢谢谢谢谢了 ![在这里插入图片描述](https://file.jishuzhan.net/article/1738301990221385729/3b20c54b775dc1777e424c8498578049.webp)

相关推荐
掘金者阿豪2 分钟前
金仓数据库KingbaseES与MyBatis-Plus整合实践:电商系统开发实战
java·后端
ZhengEnCi7 分钟前
SQL统计查询入门宝典-COUNT-GROUP-BY技术解析
后端·sql
csbysj202013 分钟前
XSLT Apply:深入解析XSLT在XML转换中的应用
开发语言
苏打水com13 分钟前
企业级数据库实操手册:从架构部署到安全运维的落地指南
数据库·后端
不会kao代码的小王31 分钟前
突破机房围墙:openEuler设备的公网管理实战指南
开发语言·数据库·笔记
CodeCraft Studio32 分钟前
CAD文件处理控件Aspose.CAD教程:在 Python 中将 SVG 转换为 PDF
开发语言·python·pdf·svg·cad·aspose·aspose.cad
c#上位机32 分钟前
wpf之MVVM中只读属性更新界面
c#·wpf·mvvm
爱可生开源社区37 分钟前
2025 年 9 月《大模型 SQL 能力排行榜》发布,新增 Kimi K2 最新版测评!
sql·llm
消失的旧时光-194344 分钟前
人脸跟随 ( Channel 实现(缓存5条数据 + 2度过滤 + 平滑移动))
android·java·开发语言·kotlin
默默coding的程序猿1 小时前
1.单例模式有哪几种常见的实现方式?
java·开发语言·spring boot·spring·单例模式·设计模式·idea