中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Mybatis是如何防止sql注入的

發布時間:2021-12-03 13:32:43 來源:億速云 閱讀:210 作者:小新 欄目:開發技術

這篇文章主要介紹了Mybatis是如何防止sql注入的,具有一定借鑒價值,感興趣的朋友可以參考下,希望大家閱讀完這篇文章之后大有收獲,下面讓小編帶著大家一起了解一下。

1、首先看一下下面兩個sql語句的區別:

<select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap">
select id, username, password, role
from user
where username = #{username,jdbcType=VARCHAR}
and password = #{password,jdbcType=VARCHAR}
</select>
<select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap">
select id, username, password, role
from user
where username = ${username,jdbcType=VARCHAR}
and password = ${password,jdbcType=VARCHAR}
</select>

mybatis中的#和$的區別:

  • 1、#將傳入的數據都當成一個字符串,會對自動傳入的數據加一個雙引號。
    如:where username=#{username},如果傳入的值是111,那么解析成sql時的值為where username="111", 如果傳入的值是id,則解析成的sql為where username="id". 

  • 2、$將傳入的數據直接顯示生成在sql中。
    如:where username=${username},如果傳入的值是111,那么解析成sql時的值為where username=111;
    如果傳入的值是;drop table user;,則解析成的sql為:select id, username, password, role from user where username=;drop table user;

  • 3、#方式能夠很大程度防止sql注入,$方式無法防止Sql注入。

  • 4、$方式一般用于傳入數據庫對象,例如傳入表名.

  • 5、一般能用#的就別用$,若不得不使用“${xxx}”這樣的參數,要手工地做好過濾工作,來防止sql注入攻擊。

  • 6、在MyBatis中,“${xxx}”這樣格式的參數會直接參與SQL編譯,從而不能避免注入攻擊。但涉及到動態表名和列名時,只能使用“${xxx}”這樣的參數格式。所以,這樣的參數需要我們在代碼中手工進行處理來防止注入。

【結論】在編寫MyBatis的映射語句時,盡量采用“#{xxx}”這樣的格式。若不得不使用“${xxx}”這樣的參數,要手工地做好過濾工作,來防止SQL注入攻擊。

2、什么是sql注入

sql注入解釋:是一種代碼注入技術,用于攻擊數據驅動的應用,惡意的SQL語句被插入到執行的實體字段中(例如,為了轉儲數據庫內容給攻擊者)

SQL注入,大家都不陌生,是一種常見的攻擊方式。攻擊者在界面的表單信息或URL上輸入一些奇怪的SQL片段(例如“or ‘1'='1'”這樣的語句),有可能入侵參數檢驗不足的應用程序。所以,在我們的應用中需要做一些工作,來防備這樣的攻擊方式。在一些安全性要求很高的應用中(比如銀行軟件),經常使用將SQL語句全部替換為存儲過程這樣的方式,來防止SQL注入。這當然是一種很安全的方式,但我們平時開發中,可能不需要這種死板的方式。

3、mybatis是如何做到防止sql注入的

MyBatis框架作為一款半自動化的持久層框架,其SQL語句都要我們自己手動編寫,這個時候當然需要防止SQL注入。其實,MyBatis的SQL是一個具有“輸入+輸出”的功能,類似于函數的結構,參考上面的兩個例子。其中,parameterType表示了輸入的參數類型,resultType表示了輸出的參數類型。回應上文,如果我們想防止SQL注入,理所當然地要在輸入參數上下功夫。上面代碼中使用#的即輸入參數在SQL中拼接的部分,傳入參數后,打印出執行的SQL語句,會看到SQL是這樣的:

select id, username, password, role from user where username=? and password=?

不管輸入什么參數,打印出的SQL都是這樣的。這是因為MyBatis啟用了預編譯功能,在SQL執行前,會先將上面的SQL發送給數據庫進行編譯;執行時,直接使用編譯好的SQL,替換占位符“?”就可以了。因為SQL注入只能對編譯過程起作用,所以這樣的方式就很好地避免了SQL注入的問題。

【底層實現原理】MyBatis是如何做到SQL預編譯的呢?其實在框架底層,是JDBC中的PreparedStatement類在起作用,PreparedStatement是我們很熟悉的Statement的子類,它的對象包含了編譯好的SQL語句。這種“準備好”的方式不僅能提高安全性,而且在多次執行同一個SQL時,能夠提高效率。原因是SQL已編譯好,再次執行時無需再編譯。

//安全的,預編譯了的
Connection conn = getConn();//獲得連接
String sql = "select id, username, password, role from user where id=?"; //執行sql前會預編譯號該條語句
PreparedStatement pstmt = conn.prepareStatement(sql); 
pstmt.setString(1, id); 
ResultSet rs=pstmt.executeUpdate(); 
......
//不安全的,沒進行預編譯
private String getNameByUserId(String userId) {
    Connection conn = getConn();//獲得連接
    String sql = "select id,username,password,role from user where id=" + id;
    //當id參數為"3;drop table user;"時,執行的sql語句如下:
    //select id,username,password,role from user where id=3; drop table user;  
    PreparedStatement pstmt =  conn.prepareStatement(sql);
    ResultSet rs=pstmt.executeUpdate();
    ......
}

【 結論:】

#{}:相當于JDBC中的PreparedStatement

${}:是輸出變量的值

簡單說,#{}是經過預編譯的,是安全的${}是未經過預編譯的,僅僅是取變量的值,是非安全的,存在SQL注入

如果我們order by語句后用了${},那么不做任何處理的時候是存在SQL注入危險的。你說怎么防止,那我只能悲慘的告訴你,你得手動處理過濾一下輸入的內容。如判斷一下輸入的參數的長度是否正常(注入語句一般很長),更精確的過濾則可以查詢一下輸入的參數是否在預期的參數集合中。

感謝你能夠認真閱讀完這篇文章,希望小編分享的“Mybatis是如何防止sql注入的”這篇文章對大家有幫助,同時也希望大家多多支持億速云,關注億速云行業資訊頻道,更多相關知識等著你來學習!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

电白县| 纳雍县| 永寿县| 青龙| 广河县| 眉山市| 沈丘县| 隆化县| 武功县| 嘉善县| 平谷区| 都昌县| 青浦区| 安仁县| 股票| 枞阳县| 开平市| 昌平区| 荆州市| 马尔康县| 徐闻县| 赫章县| 永川市| 萨嘎县| 林周县| 西充县| 谷城县| 许昌市| 虹口区| 阜平县| 尖扎县| 钟祥市| 新民市| 湾仔区| 崇仁县| 石景山区| 通道| 南丰县| 前郭尔| 通榆县| 陵川县|