mybatis是如何防止SQL注入的
mybatis是如何防止SQL注入的
參考:
https://www.cnblogs.com/jokmangood/p/11705850.html
1、首先看一下下面兩個sql語句的區別:
<select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap"> select id, username, password, role from user where username = #{username,jdbcType=VARCHAR} and password = #{password,jdbcType=VARCHAR} </select> <select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap"> select id, username, password, role from user where username = ${username,jdbcType=VARCHAR} and password = ${password,jdbcType=VARCHAR} </select>
mybatis中的#和$的區別:
1、#將傳入的資料都當成一個字串,會對自動傳入的資料加一個雙引號。
如:where username=#{username},如果傳入的值是111,那麼解析成sql時的值為where username="111", 如果傳入的值是id,則解析成的sql為where username="id".
2、\(將傳入的資料直接顯示生成在sql中。
如:where username=\){username},如果傳入的值是111,那麼解析成sql時的值為where username=111;
如果傳入的值是;drop table user;,則解析成的sql為:select id, username, password, role from user where username=;drop table user;
3、#方式能夠很大程度防止sql注入,\(方式無法防止Sql注入。
4、\)
5、一般能用#的就別用\(,若不得不使用“\){xxx}”這樣的引數,要手工地做好過濾工作,來防止sql注入攻擊。
6、在MyBatis中,“\({xxx}”這樣格式的引數會直接參與SQL編譯,從而不能避免注入攻擊。但涉及到動態表名和列名時,只能使用“\){xxx}”這樣的引數格式。所以,這樣的引數需要我們在程式碼中手工進行處理來防止注入。
【結論】在編寫MyBatis的對映語句時,儘量採用“#{xxx}”這樣的格式。若不得不使用“${xxx}”這樣的引數,要手工地做好過濾工作,來防止SQL注入攻擊。
2、什麼是sql注入
sql注入解釋:是一種程式碼注入技術,用於攻擊資料驅動的應用,惡意的SQL語句被插入到執行的實體欄位中(例如,為了轉儲資料庫內容給攻擊者)
SQL注入,大家都不陌生,是一種常見的攻擊方式。攻擊者在介面的表單資訊或URL上輸入一些奇怪的SQL片段(例如“or ‘1’=’1’”這樣的語句),有可能入侵引數檢驗不足的應用程式。所以,在我們的應用中需要做一些工作,來防備這樣的攻擊方式。在一些安全性要求很高的應用中(比如銀行軟體),經常使用將SQL語句全部替換為儲存過程這樣的方式,來防止SQL注入。這當然是一種很安全的方式,但我們平時開發中,可能不需要這種死板的方式。
3、mybatis是如何做到防止sql注入的
MyBatis框架作為一款半自動化的持久層框架,其SQL語句都要我們自己手動編寫,這個時候當然需要防止SQL注入。其實,MyBatis的SQL是一個具有“輸入+輸出”的功能,類似於函式的結構,參考上面的兩個例子。其中,parameterType表示了輸入的引數型別,resultType表示了輸出的引數型別。迴應上文,如果我們想防止SQL注入,理所當然地要在輸入引數上下功夫。上面程式碼中使用#的即輸入引數在SQL中拼接的部分,傳入引數後,打印出執行的SQL語句,會看到SQL是這樣的:
select id, username, password, role from user where username=? and password=?
不管輸入什麼引數,打印出的SQL都是這樣的。這是因為MyBatis啟用了預編譯功能,在SQL執行前,會先將上面的SQL傳送給資料庫進行編譯;執行時,直接使用編譯好的SQL,替換佔位符“?”就可以了。因為SQL注入只能對編譯過程起作用,所以這樣的方式就很好地避免了SQL注入的問題。
【底層實現原理】MyBatis是如何做到SQL預編譯的呢?其實在框架底層,是JDBC中的PreparedStatement類在起作用,PreparedStatement是我們很熟悉的Statement的子類,它的物件包含了編譯好的SQL語句。這種“準備好”的方式不僅能提高安全性,而且在多次執行同一個SQL時,能夠提高效率。原因是SQL已編譯好,再次執行時無需再編譯。
//安全的,預編譯了的
Connection conn = getConn();//獲得連線
String sql = "select id, username, password, role from user where id=?"; //執行sql前會預編譯號該條語句
PreparedStatement pstmt = conn.prepareStatement(sql);
pstmt.setString(1, id);
ResultSet rs=pstmt.executeUpdate();
......
//不安全的,沒進行預編譯
private String getNameByUserId(String userId) {
Connection conn = getConn();//獲得連線
String sql = "select id,username,password,role from user where id=" + id;
//當id引數為"3;drop table user;"時,執行的sql語句如下:
//select id,username,password,role from user where id=3; drop table user;
PreparedStatement pstmt = conn.prepareStatement(sql);
ResultSet rs=pstmt.executeUpdate();
......
}
javascript:void(0)