企业官网建设流程全解析

网站快速搭建平台,优化营商环境调度,python+网站开发实例教程,金华大企业网站建设有哪些Mybatis框架#xff1f;老生常谈#xff1f;不#xff01; MyBatis#xff0c;这玩意儿在Java圈子里谁还没听过#xff1f;ORM框架嘛#xff0c;把Java对象和数据库表里的数据对应起来#xff0c;省得你写一堆JDBC代码。但它跟Hibernate那种“全自动”选手不一样#…Mybatis框架老生常谈不MyBatis这玩意儿在Java圈子里谁还没听过ORM框架嘛把Java对象和数据库表里的数据对应起来省得你写一堆JDBC代码。但它跟Hibernate那种“全自动”选手不一样MyBatis更像个“半自动”挡位SQL还得你自己操刀。好处是啥灵活你想怎么玩SQL就怎么玩控制权都在你手里。现在JavaWeb开发谁敢说自己没用过Mybatis反正我是没见过。MyBatis玩起来其实就三板斧XML映射文件先搞个XML文件把你的SQL语句写进去。Mapper接口再定义一个Mapper接口接口里的方法对应XML里的SQL。代码调用最后在你的Java代码里调用Mapper接口的方法MyBatis就帮你执行SQL了。具体咋用自己去看文档这年头伸手党要不得。Mybatis凭啥能搞出SQL注入这锅该谁背Mybatis这玩意儿用好了是神器用不好就是埋雷。它支持两种参数占位符${}和#{}。注意坑就在这里${}这货就是个耿直boy直接把参数拼到SQL里。这跟传统的SQL注入有啥区别没区别就是个裸奔的SQL注入漏洞。select idselectC parameterTypeString resultTypecom.demo.bean.User select * from sqldemo.user where name ${name} /select比如你传个nameabcdeMybatis直接给你拼成select * from sqldemo.user where name abcde然后丢给数据库执行。这要没问题那才叫见了鬼#{}呢它就聪明多了用的是预编译。select idselectC parameterTypeString resultTypecom.demo.bean.User select * from sqldemo.user where name #{name} /select同样传个nameabcdeMybatis会先把SQL变成这样select * from sqldemo.user where name ?然后把abcde当做参数传给数据库。这样一来就算你传的是 or 11 --数据库也只会把它当成一个普通的字符串SQL注入不存在的所以说Mybatis本身没啥问题问题在于用错了${}如何在Mybatis的枪林弹雨中找到注入点别再傻乎乎地用单引号了既然${}这么危险那怎么判断有没有SQL注入呢你还在用传统的单引号大法select idselectC parameterTypeString resultTypecom.demo.bean.User select * from sqldemo.user where name ${name} /select一个单引号报错两个单引号正常OK字符型SQL注入安排Too young, too simple! 我在一次渗透测试中就遇到了这种情况一个单引号报错两个单引号直接被WAF拦截三个、四个单引号统统拦截当时我就懵了WAF都这么智能了不行必须搞清楚扒开Mybatis的底裤${}和#{}的恩怨情仇要绕过WAF就得了解Mybatis的解析顺序。如果${}和#{}同时出现Mybatis会怎么处理select idselectC parameterTypeString resultTypecom.demo.bean.User select * from sqldemo.user where name #{name} or name ${name} /select你以为Mybatis会按顺序从左到右解析Naive调试结果告诉我Mybatis会先解析${}再解析#{}先干掉${}Mybatis会找到${}把里面的内容替换掉。比如你传个namebob替换后SQL就变成了sql select * from sqldemo.user where name #{name} or name bob再收拾#{}替换完${}Mybatis才会处理#{}把它替换成?。最终SQL变成了sql select * from sqldemo.user where name ? or name bob交给数据库Mybatis带着SQL和参数去数据库查数据了。是不是有点意思了Mybatis报错小秘密参数绑定是关键在深入之前还得补充一个Mybatis的参数绑定知识点。select idselect parameterTypeString resultTypecom.demo.bean.User select * from sqldemo.user where id ${id} or name #{name} /selectSQL里有两个占位符${id}和#{name}Mybatis怎么知道id和name的值从哪里来需要在Mapper接口里用Param注解绑定参数ListUser select(Param(valueid) String id, Param(valuename) String name);这样Mybatis才能把id和name的值正确地传递给SQL。如果你在SQL里用了个没绑定过的参数名比如#{test}Mybatis就会报错Parameter test not found。记住这个报错后面要考终极武器不靠单引号也能搞定Mybatis注入现在把前面的知识点串起来就是见证奇迹的时刻select idselectC parameterTypeString resultTypecom.demo.bean.User select * from sqldemo.user where id #{id} and name ${name} /select如果我把name的值设为#{name}会发生什么报错了SQL变成了select * from sqldemo.user where id ? and name ?因为Mybatis先解析${}把${name}替换成了#{name}然后再解析#{}把#{name}替换成了?。结果SQL里出现了两个?参数数量对不上就报错了。但是我们不知道参数名是name怎么办没关系我们可以用一个不存在的参数名比如#{test}。这样Mybatis就会报Parameter test not found的错误。关键在于如果name参数使用了${}我们传入#{test}就会报错如果name参数使用的是#{}传入#{test}就不会报错。通过这个差异我们就能判断出是否存在SQL注入是不是很巧妙我已经把这个方法集成到了xiasql里欢迎来星球体验进阶数字型和排序型注入怎么搞如果SQL里没有单引号限制比如select idselectA parameterTypeString resultTypecom.demo.bean.User select * from sqldemo.user where id ${id} /select select idselectB parameterTypeString resultTypecom.demo.bean.User select * from sqldemo.user where id #{id} order by ${sort} /select传统的判断方法当然也能用但我们也可以用上面的方法。直接给个更完善的POC/*#xxxx}*/ /*#{xxxx}*/学会这招以后遇到Mybatis注入再也不用慌了网络安全的知识多而杂怎么科学合理安排下面给大家总结了一套适用于网安零基础的学习路线应届生和转行人员都适用学完保底6k就算你底子差如果能趁着网安良好的发展势头不断学习日后跳槽大厂、拿到百万年薪也不是不可能初级黑客1、网络安全理论知识2天①了解行业相关背景前景确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。非常重要2、渗透测试基础一周①渗透测试的流程、分类、标准②信息收集技术主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理利用方法、工具MSF、绕过IDS和反病毒侦察④主机攻防演练MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础一周①Windows系统常见功能和命令②Kali Linux系统常见功能和命令③操作系统安全系统入侵排查/系统加固基础4、计算机网络基础一周①计算机网络基础、协议和架构②网络通信原理、OSI模型、数据转发流程③常见协议解析HTTP、TCP/IP、ARP等④网络攻击技术与网络安全防御技术⑤Web漏洞原理与防御主动/被动攻击、DDOS攻击、CVE漏洞复现5、数据库基础操作2天①数据库基础②SQL语言基础③数据库安全加固6、Web渗透1周①HTML、CSS和JavaScript简介②OWASP Top10③Web漏洞扫描工具④Web渗透工具Nmap、BurpSuite、SQLMap、其他菜刀、漏扫等网上虽然也有很多的学习资源但基本上都残缺不全的这是我们和网安大厂360共同研发的的网安视频教程内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识而且包含了中级的各种渗透技术并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频100多本网安电子书最新学习路线图和工具安装包都有不用担心学不全。这些东西我都可以免费分享给大家需要的可以点这里自取:网安入门到进阶资源