1. 程式人生 > >mybatis中#{}與${}的差別(如何防止sql注入)

mybatis中#{}與${}的差別(如何防止sql注入)

預設情況下,使用#{}語法,MyBatis會產生PreparedStatement語句中,並且安全的設定PreparedStatement引數,這個過程中MyBatis會進行必要的安全檢查和轉義。

#相當於對資料 加上 雙引號,$相當於直接顯示資料

示例1:
執行SQL:select * from emp where name = #{employeeName}
引數:employeeName=>Smith
解析後執行的SQL:select * from emp where name = ?

示例2:

執行SQL:select * from emp where name = ${employeeName}
引數:employeeName傳入值為:Smith
解析後執行的SQL:Select * from emp where name =Smith

綜上所述、${}方式會引發SQL注入的問題、同時也會影響SQL語句的預編譯,所以從安全性和效能的角度出發,能使用#{}的情況下就不要使用${}

Q:但是${}在什麼情況下使用呢?

A:有時候可能需要直接插入一個不做任何修改的字串到SQL語句中。這時候應該使用${}語法。

  比如,動態SQL中的欄位名,如:ORDER BY ${columnName}

重要:接受從使用者輸出的內容並提供給語句中不變的字串,這樣做是不安全的。這會導致潛在的SQL注入攻擊,因此你不應該允許使用者輸入這些欄位,或者通常自行轉義並檢查。

MyBatis框架作為一款半自動化的持久層框架,其SQL語句都要我們自己手動編寫,這個時候當然需要防止SQL注入

。其實,MyBatis的SQL是一個具有“輸入+輸出”的功能,類似於函式的結構,如下:

<select id="getBlogById" resultType="Blog" parameterType=”int”>
         SELECT id,title,author,content
         FROM blog
         WHERE id=#{id}
</select>

  這裡,parameterType表示了輸入的引數型別,resultType表示了輸出的引數型別。迴應上文,如果我們想防止SQL注入,理所當然地要在輸入引數上下功夫。上面程式碼中黃色高亮即輸入引數在SQL中拼接的部分,傳入引數後,打印出執行的SQL語句,會看到SQL是這樣的:

SELECT id,title,author,content FROM blog WHERE id = ?

  不管輸入什麼引數,打印出的SQL都是這樣的。這是因為MyBatis啟用了預編譯功能,在SQL執行前,會先將上面的SQL傳送給資料庫進行編譯;執行時,直接使用編譯好的SQL,替換佔位符?”就可以了。因為SQL注入只能對編譯過程起作用,所以這樣的方式就很好地避免了SQL注入的問題

  【底層實現原理】MyBatis是如何做到SQL預編譯的呢?其實在框架底層,是JDBC中的PreparedStatement類在起作用,PreparedStatement是我們很熟悉的Statement的子類,它的物件包含了編譯好的SQL語句。這種“準備好”的方式不僅能提高安全性,而且在多次執行同一個SQL時,能夠提高效率原因是SQL已編譯好,再次執行時無需再編譯。

  在MyBatis中,${xxx}這樣格式的引數會直接參與SQL編譯,從而不能避免注入攻擊。但涉及到動態表名和列名時,只能使用${xxx}這樣的引數格式。所以,這樣的引數需要我們在程式碼中手工進行處理來防止注入。

【結論】

在編寫MyBatis的對映語句時,儘量採用#{xxx}這樣的格式。若不得不使用${xxx}這樣的引數,要手工地做好過濾工作,來防止SQL注入攻擊。

#{}:相當於JDBC中的PreparedStatement

${}:是輸出變數的值

簡單說,#{}是經過預編譯的,是安全的${}是未經過預編譯的,僅僅是取變數的值,是非安全的,存在SQL注入。

如果我們order by語句後用了${},那麼不做任何處理的時候是存在SQL注入危險的。你說怎麼防止,那我只能悲慘的告訴你,你得手動處理過濾一下輸入的內容。如判斷一下輸入的引數的長度是否正常(注入語句一般很長)

原理介紹:

myBatis 對於#{} 在boundSql 的時候,會將sql  語句解析成為?;對於${} 則本來的值進行替換。

對於  select * from emp where name = #{employeeName},myBatis 會解析sql為:select * from emp where name = #{employeeName},然後進行prepareStatment 預編譯處理。

對於 select * from emp where name = ${employeeName},myBatis 會解析sql為:select * from emp where name = 'employeeName',然後進行prepareStatment 預編譯處理。

myBatis 其實底層防止sql注入,使用的是prepareStatment語句。表現為#{employeeName}和${employeeName}的兩種引數注入方法。

參考: