mybatis中#{}與${}的差別(如何防止sql注入)
預設情況下,使用#{}語法,MyBatis會產生PreparedStatement語句中,並且安全的設定PreparedStatement引數,這個過程中MyBatis會進行必要的安全檢查和轉義。
#相當於對資料 加上 雙引號,$相當於直接顯示資料
示例1:
執行SQL:select * from emp where name = #{employeeName}
引數:employeeName=>Smith
解析後執行的SQL:select * from emp where name = ?
示例2:
執行SQL:select * from emp where name = ${employeeName}
引數:employeeName傳入值為:Smith
解析後執行的SQL:Select * from emp where name =Smith
綜上所述、${}方式會引發SQL注入的問題、同時也會影響SQL語句的預編譯,所以從安全性和效能的角度出發,能使用#{}的情況下就不要使用${}
Q:但是${}在什麼情況下使用呢?
A:有時候可能需要直接插入一個不做任何修改的字串到SQL語句中。這時候應該使用${}語法。
比如,動態SQL中的欄位名,如:ORDER BY ${columnName}
重要:接受從使用者輸出的內容並提供給語句中不變的字串,這樣做是不安全的。這會導致潛在的SQL注入攻擊,因此你不應該允許使用者輸入這些欄位,或者通常自行轉義並檢查。
MyBatis框架作為一款半自動化的持久層框架,其SQL語句都要我們自己手動編寫,這個時候當然需要防止SQL注入
<select id="getBlogById" resultType="Blog" parameterType=”int”> SELECT id,title,author,content FROM blog WHERE id=#{id} </select>
這裡,parameterType表示了輸入的引數型別,resultType表示了輸出的引數型別。迴應上文,如果我們想防止SQL注入,理所當然地要在輸入引數上下功夫。上面程式碼中黃色高亮即輸入引數在SQL中拼接的部分,傳入引數後,打印出執行的SQL語句,會看到SQL是這樣的:
SELECT id,title,author,content FROM blog WHERE id = ?
不管輸入什麼引數,打印出的SQL都是這樣的。這是因為MyBatis啟用了預編譯功能,在SQL執行前,會先將上面的SQL傳送給資料庫進行編譯;執行時,直接使用編譯好的SQL,替換佔位符“?”就可以了。因為SQL注入只能對編譯過程起作用,所以這樣的方式就很好地避免了SQL注入的問題。
【底層實現原理】MyBatis是如何做到SQL預編譯的呢?其實在框架底層,是JDBC中的PreparedStatement類在起作用,PreparedStatement是我們很熟悉的Statement的子類,它的物件包含了編譯好的SQL語句。這種“準備好”的方式不僅能提高安全性,而且在多次執行同一個SQL時,能夠提高效率。原因是SQL已編譯好,再次執行時無需再編譯。
在MyBatis中,${xxx}這樣格式的引數會直接參與SQL編譯,從而不能避免注入攻擊。但涉及到動態表名和列名時,只能使用${xxx}這樣的引數格式。所以,這樣的引數需要我們在程式碼中手工進行處理來防止注入。
【結論】
在編寫MyBatis的對映語句時,儘量採用#{xxx}這樣的格式。若不得不使用${xxx}這樣的引數,要手工地做好過濾工作,來防止SQL注入攻擊。
#{}:相當於JDBC中的PreparedStatement
${}:是輸出變數的值
簡單說,#{}是經過預編譯的,是安全的;${}是未經過預編譯的,僅僅是取變數的值,是非安全的,存在SQL注入。
如果我們order by語句後用了${},那麼不做任何處理的時候是存在SQL注入危險的。你說怎麼防止,那我只能悲慘的告訴你,你得手動處理過濾一下輸入的內容。如判斷一下輸入的引數的長度是否正常(注入語句一般很長)
原理介紹:
myBatis 對於#{} 在boundSql 的時候,會將sql 語句解析成為?;對於${} 則本來的值進行替換。
對於 select * from emp where name = #{employeeName},myBatis 會解析sql為:select * from emp where name = #{employeeName},然後進行prepareStatment 預編譯處理。
對於 select * from emp where name = ${employeeName},myBatis 會解析sql為:select * from emp where name = 'employeeName',然後進行prepareStatment 預編譯處理。
myBatis 其實底層防止sql注入,使用的是prepareStatment語句。表現為#{employeeName}和${employeeName}的兩種引數注入方法。
參考: