危险的 SQL

看下这个 SQL ，有什么问题？

<update id="update" parameterType="CreativeGroupDO">
        update dsp_creative_group set gmt_modified = now()
        <if test="title != null">
            ,title = #{title,jdbcType=VARCHAR}
        </if>
        <if test="clickUrl != null">
            ,click_url = #{clickUrl,jdbcType=VARCHAR}
        </if>
        <where>
            <if test="creativeGroupId != null">
                and creative_group_id = #{creativeGroupId,jdbcType=BIGINT}
            </if>
        </where>
    </update>

答案在下面已经用灰白色字体隐去。请用鼠标滑过查看。

咋看上去，没啥问题；可是，如果 creativeGroupId = null 呢？将会更新所有的 dsp_creative_group 记录的 title, clickUrl 为同一个值，造成数据丢失。你永远不知道应用程序会在什么时候将 creative_group_id 置为 null ，这几乎是不可控制的。对于线上系统来说，一旦这样的事情发生，绝对是灾难级的故障。教训是：永远、绝对不要在 update 的 where 字句中增加 if 条件！

时间： 2024-11-10 08:10:05

危险的 SQL的相关文章

【代码实现】防止SQL注入解决办法

文章来源:PHP开发学习门户地址:http://www.phpthinking.com/archives/494 SQL注入是我们在程序开发过程中经常要注意的问题,属于发生于应用程序之数据库层的安全漏洞,通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统. 简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去

Mybatis映射原理，动态SQL，log4j

1.理清mybatis中的#和$之间的区别? #{ }:表示一个预处理参数,参数类型不定,是根据传入的参数类型来设定的. 类似于JDBC中的? 特例使用,模糊查询:(针对oracle): and username like concat(concat('%',#{username}),'%') 采取的$的方式传入参数,所有采取$的方式传入的参数都只是字符串(无论传入的是什么,都会当成字符串处理),潜在的危险就是SQL注入的问题. and username like '%${value}%' 注意

SQL注入(二)

5.限制输入长度如果在Web页面上使用文本框收集用户输入的数据,使用文本框的MaxLength属性来限制用户输入过长的字符也是一个很好的方法,因为用户的输入不够长,也就减少了贴入大量脚本的可能性.程序员可以针对需要收集的数据类型作出一个相应的限制策略. 6.URL重写技术我们利用URL重写技术过滤一些SQL注入字符,从而达到防御SQL注入.因为许多SQL注入是从URL输入发生的. 7.传递参数尽量不是字符假设我们显示一篇新闻的页面,从URL传递参数中获得newid我们可能会随手写下下面的代

java mybatis学习之$和#区别，mapper代理接口，动态SQL，在日志中输出mybatis的sql语句

1.在mybatis中,$和#的区别: #{}:表示一个预处理参数,参数类型不定,是根据传入的参数类型来设定的.类似于JDBC中的? 特例使用,模糊查询:(针对oracle): and username like concat(concat('%',#{username}),'%') ${}:相当于是我们的JDBC里的字符串拼接.这里就相当于传入的就是一个字符串(不管传入什么样的数据类型,都是字符串) and username like '%${value}%' 2.$和#在mybatis中的优

MySQL pdo预处理能防止sql注入的原因

MySQL pdo预处理能防止sql注入的原因: 1.先看预处理的语法 $pdo->prepare('select * from biao1 where id=:id'); $pdo->execute([':id'=>4]); 2.语句一,服务器发送一条sql给mysql服务器,mysql服务器会解析这条sql. 语句二,服务器发送一条sql给mysql服务器,mysql服务器不会解析这条sql,只会把execute的参数当做纯参数赋值给语句一.哪怕参数中有sql命令也不会被执行,从而实

SQL注入漏洞详解

漏洞影响攻击者利用该漏洞可能导致 1.网页被篡改 2.数据被篡改 3. 核心数据被窃取 4. 数据库所在服务器被攻击变成傀儡主机解决方法: 1. 过滤用户输入的内容,检查用户输入的内容中是否有非法内容.如,|(竖线符号). & (& 符号).;(分号).$(美元符号).%(百分比符号).@(at 符号).\'(单引号)."(引号).\\\'(反斜杠转义单引号).\\"(反斜杠转义引号).<>(尖括号).()(括号).+(加号). CR(回车符,

ASP.NET MVC 5使用Filter过滤Action参数防止sql注入，让你代码安全简洁

在开发程序的过程中,稍微不注意就会隐含有sql注入的危险.今天我就来说下,ASP.NET mvc 5使用Filter过滤Action参数防止sql注入,让你代码安全简洁.不用每下地方对参数的值都进行检查,看是用户输入的内容是否有危险的sql.如果每个地方都要加有几个缺点: 1.工作量大 2.容易遗漏 3.不容易维护下面我通过写一个过滤防止sql的特性类,对Action执行前对Action的参数进行处理,如果有其值有sql语句,就会这些非法字符替换为空字符串. 一.sql注入的例子: 上面的输入

数据库系统概念：基础的SQL

public class DataBase { public static void main() { } } /* 3.1 SQL查询语言概览 SQL语言有一下几个部分: 数据定义语言:提供定义关系模式,删除关系以及修改关系模式的命令数据操纵语言:提供从数据库中查询信息,以及在数据库中插入元组,删除元组,修改元组的能力完整性:定义完整性约束的命令视图定义: 事务控制:定义事务的开始和结束的命令嵌入式SQL和动态SQL:嵌入式和和动态SQL定义SQL语如何嵌入到通用编程语言授权:定义了