2. 程式人生 > >Mybatis是如何實現SQL防注入的

Mybatis是如何實現SQL防注入的

阿新 發佈:2020-01-06

Mybatis這個框架在日常開發中用的很多,比如面試中經常有一個問題:$#的區別,它們的區別是使用#可以防止SQL注入,今天就來看一下它是如何實現SQL注入的。

什麼是SQL注入

在討論怎麼實現之前,首先了解一下什麼是SQL注入,我們有一個簡單的查詢操作:根據id查詢一個使用者資訊。它的sql語句應該是這樣:select * from user where id =。我們根據傳入條件填入id進行查詢。

如果正常操作,傳入一個正常的id,比如說2,那麼這條語句變成select * from user where id =2。這條語句是可以正常執行並且符合我們預期的。

但是如果傳入的引數變成'' or 1=1

,這時這條語句變成select * from user where id = '' or 1=1。讓我們想一下這條語句的執行結果會是怎麼?它會將我們使用者表中所有的資料查詢出來,顯然這是一個大的錯誤。這就是SQL注入。

Mybatis如何防止SQL注入

在開頭講過,可以使用#來防止SQL注入,它的寫法如下:

<select id="safeSelect" resultMap="testUser">
   SELECT * FROM user where id = #{id}
</select>

在mybatis中查詢還有一個寫法是使用$,它的寫法如下:

<select id="unsafeSelect" resultMap="testUser">
   select * from user where id = ${id}
</select>

當我們在外部對這兩個方法繼續呼叫時,發現如果傳入安全的引數時,兩者結果並無不同,如果傳入不安全的引數時,第一種使用#的方法查詢不到結果(select * from user where id = '' or 1=1),但這個引數在第二種也就是$下會得到全部的結果。

並且如果我們將sql進行列印,會發現新增#時,向資料庫執行的sql為:select * from user where id = ' \'\' or 1=1 ',它會在我們的引數外再加一層引號,在使用$時,它的執行sql是select * from user where id = '' or 1=1

棄用$可以嗎

我們使用#也能完成$

的作用,並且使用$還有危險,那麼我們以後不使用$不就行了嗎。

並不是,它只是在我們這種場景下會有問題,但是在有一些動態查詢的場景中還是有不可代替的作用的,比如,動態修改表名select * from ${table} where id = #{id}。我們就可以在返回資訊一致的情況下進行動態的更改查詢的表,這也是mybatis動態強大的地方。

如何實現SQL注入的,不用Mybatis怎麼實現

其實Mybatis也是通過jdbc來進行資料庫連線的,如果我們看一下jdbc的使用,就可以得到這個原因。

#使用了PreparedStatement來進行預處理,然後通過set的方式對佔位符進行設定,而$則是通過Statement直接進行查詢,當有引數時直接拼接進行查詢。

所以說我們可以使用jdbc來實現SQL注入。

看一下這兩個的程式碼:

public static void statement(Connection connection) {
  System.out.println("statement-----");
  String selectSql = "select * from user";
  // 相當於mybatis中使用$,拿到引數後直接拼接
  String unsafeSql = "select * from user where id = '' or 1=1;";
  Statement statement = null;
  try {
    statement = connection.createStatement();
  } catch (SQLException e) {
    e.printStackTrace();
  }
  try {
    ResultSet resultSet = statement.executeQuery(selectSql);
    print(resultSet);
  } catch (SQLException e) {
    e.printStackTrace();
  }
  System.out.println("---****---");
  try {
    ResultSet resultSet = statement.executeQuery(unsafeSql);
    print(resultSet);
  } catch (SQLException e) {
    e.printStackTrace();
  }
}

public static void preparedStatement(Connection connection) {
  System.out.println("preparedStatement-----");
  String selectSql = "select * from user;";
  //相當於mybatis中的#,先對要執行的sql進行預處理,設定佔位符,然後設定引數
  String safeSql = "select * from user where id =?;";
  PreparedStatement preparedStatement = null;
  try {
    preparedStatement = connection.prepareStatement(selectSql);
    ResultSet resultSet = preparedStatement.executeQuery();
    print(resultSet);
  } catch (SQLException e) {
    e.printStackTrace();
  }
  System.out.println("---****---");
  try {
    preparedStatement = connection.prepareStatement(safeSql);
    preparedStatement.setString(1," '' or 1 = 1 ");
    ResultSet resultSet = preparedStatement.executeQuery();
    print(resultSet);
  } catch (SQLException e) {
    e.printStackTrace();
  }
}

public static void print(ResultSet resultSet) throws SQLException {
  while (resultSet.next()) {
    System.out.print(resultSet.getString(1) + ", ");
    System.out.print(resultSet.getString("name") + ", ");
    System.out.println(resultSet.getString(3));
  }
}

總結

  • Mybatis中使用#可以防止SQL注入,$並不能防止SQL注入

  • Mybatis實現SQL注入的原理是呼叫了jdbc中的PreparedStatement來進行預處理。

    本文由部落格一文多發平臺 OpenWrite 釋出!
    博主郵箱:[email protected],有問題可以郵箱交流。

    • 相關推薦

    Mybatis是如何實現SQL注入

    Mybatis這個框架在日常開發中用的很多,比如面試中經常有一個問題:$和#的區別,它們的區別是使用#可以防止SQL注入,今天就來看一下它是如何實現SQL注入的。 什麼是SQL注入 在討論怎麼實現之前,首先了解一下什麼是SQL注入,我們有一個簡單的查詢操作:根據id查詢一個使用者資訊。它的sql語句應該是這樣

    Mybatis中的SQL注入

    sql注入大家都不陌生,是一種常見的攻擊方式,攻擊者在介面的表單資訊或url上輸入一些奇怪的sql片段,例如“or ‘1’=‘1’”這樣的語句,有可能入侵引數校驗不足的應用程式。所以在我們的應用中需要做一些工作,來防備這樣的攻擊方式。在一些安全性很高的應用中,比

    MyBatis原始碼閱讀--注入實現

    MyBatis原始碼閱讀–防注入實現 什麼是Sql注入 百度百科:Sql注入 簡單來講,一條查詢語句如下,userName為使用者傳入的String引數 : public String getSql(String userName){ return "

    最新天貓3輪面試題目:虛擬機器+併發鎖+Sql注入+Zookeeper

    一面 自我介紹、專案介紹 Spring攔截器、實現了哪些方法?底層原理 AOP如何配置,底層原理、2種動態代理,aop註解實現,xml定義切面 Bean的作用域,單例模式是否執行緒安全?惡漢模式是否執行緒安全?bean如何結束生命週期? Spring事務種類,如

    2018年天貓3輪面試題目:虛擬機器+併發鎖+Sql注入+Zookeeper

    一面 自我介紹、專案介紹 Spring攔截器、實現了哪些方法?底層原理 AOP如何配置,底層原理、2種動態代理,aop註解實現,xml定義切面 Bean的作用域,單例模式是否執行緒安全?惡漢模式是否執行緒安全?bean如何結束生命週期? Spring事務種

    SQL注入 web開發中防止SQL注入

    web開發中防止SQL注入   一、SQL注入簡介 SQL注入是比較常見的網路攻擊方式之一,它不是利用作業系統的BUG來實現攻擊,而是針對程式設計師編寫時的疏忽,通過SQL語句,實現無賬號登入,甚至篡改資料庫。 二、SQL注入攻擊的總體思路 1.尋找到SQL

    sql 注入

    看程式碼看到一個php與mysql的一種特殊用法,就查詢此用法的意義,發現是一種sql防注入的方法,平時查詢sql防注入的方法也沒查到過這種用法,趕快記下來 。介紹完該方法,再通過引用他人的部落格,來介紹一下sql注入攻擊技巧與防範。 防注入方法: 用到的方法: p

    Mybatis 實現SQL攔截並在控制檯列印SQL和引數

    注:可以攔截sql 執行時間,優化sql。並列印sql 以及引數 第一步:建立類: SqlPrintInterceptor 並實現 Interceptor 該類如下: package com.ra.common.plugin; import org.apache.ibatis.executor.

    SQL注入例項

    防止SQL注入的動機 近來教育行業的資訊保安問題真是一波未平一波又起:陸續發生多個高校網站網頁被篡改,甚至發生在G20會議期間,影響惡劣;高校密集被爆SQL注入漏洞,涉及80%以上的高校;教育行業成為電信詐騙的重災區,據統計,被騙學生佔全部被騙人數的20%左右,

    SQL注入大全——史上最全的 SQL 注入資料

    SQL注入速查表是可以為你提供關於不同種類 SQL注入漏洞 的詳細資訊的一個資源。這份速查表對於經驗豐富的滲透測試人員,或者剛開始接觸 Web應用安全 的初學者,都是一份很好的參考資料。關於這份 SQL 注入速查表這份 SQL 速查表最初是 2007 年時 Ferruh Mavituna 在他自己的部落格上釋

    SpringMVC以資料繫結方式做HTML、SQL注入

    首先先定義個一個類整合 PropertyEditorSupport 屬性編輯器public class StringEscapeEditor extends PropertyEditorSupport { private boolean escapeHTML; //定義

    PHP SQL注入

    參考資料: PHP中防止SQL注入的方法 php操作mysql防止sql注入(合集) PDO防注入原理分析以及使用PDO的注意事項 php SQL 防注入的一些經驗 如何在PHP中防止SQL注入? PHP安全程式設計:防止SQL注入 addslashes與mysql_real_escap

    mybatis實現sql查詢in()語句

    現象:使用ssm框架 mybaits使用的sql語句中包含in()語句在java中該如何實現 比如:sql語句如下: DELETE FROM tbl_channel_sms_depl

    SQL注入SqlParameter的使用

    概述:一般來說,在更新DataTable或是DataSet時,如果不採用SqlParameter,那麼當輸入的Sql語句出現歧義時,如字串中含有單引號,程式就會發生錯誤,並且他人可以輕易地通過拼接Sq

    mybatis 模糊查詢 SQL注入

    不同資料庫語法不一樣的,MySQL:1select * from user where name like concat('%', #{name}, '%');oracle:1select * from user where name like '%' || #{name} 

    Mybatis防止sql注入原理

         SQL 注入是一種程式碼注入技術,用於攻擊資料驅動的應用,惡意的SQL 語句被插入到執行的實體欄位中(例如,為了轉儲資料庫內容給攻擊者)。[摘自]  SQL注入 - 維基百科SQL注入,大家都不陌生,是一種常見的攻擊方式。攻擊者在介面的表單資訊或UR

    登入注入最簡單的實現

    原來是這樣寫的,當我登入時輸入:' or 1=1 -- 會導致登入成功!這樣讓我必須要做防注入。 /** * 獲取登入使用者 * @param userName * @param md5password * @return */

    mybatissql外掛之JpaMapper-以Jpa hibernate的風格寫mybatismybatis實現簡單分表-sharding功能)

    mybatis免sql外掛之JpaMapper-以Jpa hibernate的風格寫mybatis(mybatis實現簡單分表-sharding功能) 簡介 JpaMapper以Jpa hibernate的風格寫mybatis的程式碼,可以減少手動寫sql的煩惱。 優勢:

    SSM框架學習-MyBatisSQL對映檔案——實現高階結果對映和多表查詢

    SSM框架學習-MyBatis篇 SQL對映檔案——實現高階結果對映(多表查詢) 問題情境:比如有張表,使用者和使用者詳情,這兩張表裡面沒長表都有一個id欄位,這兩個表的id欄位都是對應的。 實體類裡面分別對應兩個實體類,user和userdetail,還有一個很重要的實

    MyBatis防止SQL注入

    預設情況下,使用#{}語法,MyBatis會產生PreparedStatement語句中,並且安全的設定PreparedStatement引數,這個過程中MyBatis會進行必要的安全檢查和轉義。 #相當於對資料 加上 雙引號,$相當於直接顯示資料 示例1: 執行SQL: