Mybatis这个框架在日常开发中用的很多,比如面试中经常有一个问题:$#的区别,它们的区别是使用#可以防止SQL注入,今天就来看一下它是如何实现SQL注入的。

什么是SQL注入

在讨论怎么实现之前,首先了解一下什么是SQL注入,我们有一个简单的查询操作:根据id查询一个用户信息。它的sql语句应该是这样:select * from user where id = 。我们根据传入条件填入id进行查询。

如果正常操作,传入一个正常的id,比如说2,那么这条语句变成select * from user where id =2。这条语句是可以正常运行并且符合我们预期的。

但是如果传入的参数变成 '' or 1=1,这时这条语句变成select * from user where id = '' or 1=1。让我们想一下这条语句的执行结果会是怎么?它会将我们用户表中所有的数据查询出来,显然这是一个大的错误。这就是SQL注入。

Mybatis如何防止SQL注入

在开头讲过,可以使用#来防止SQL注入,它的写法如下:

<select id="safeSelect" resultMap="testUser">

   SELECT * FROM user where id = #{id}

</select>

在mybatis中查询还有一个写法是使用$,它的写法如下:

<select id="unsafeSelect" resultMap="testUser">

   select * from user where id = ${id}

</select>

当我们在外部对这两个方法继续调用时,发现如果传入安全的参数时,两者结果并无不同,如果传入不安全的参数时,第一种使用#的方法查询不到结果(select * from user where id = '' or 1=1),但这个参数在第二种也就是$下会得到全部的结果。

并且如果我们将sql进行打印,会发现添加#时,向数据库执行的sql为:select * from user where id = ' \'\' or 1=1 ',它会在我们的参数外再加一层引号,在使用$时,它的执行sql是select * from user where id = '' or 1=1

弃用$可以吗

我们使用#也能完成$的作用,并且使用$还有危险,那么我们以后不使用$不就行了吗。

并不是,它只是在我们这种场景下会有问题,但是在有一些动态查询的场景中还是有不可代替的作用的,比如,动态修改表名select * from ${table} where id = #{id}。我们就可以在返回信息一致的情况下进行动态的更改查询的表,这也是mybatis动态强大的地方。

如何实现SQL注入的,不用Mybatis怎么实现

其实Mybatis也是通过jdbc来进行数据库连接的,如果我们看一下jdbc的使用,就可以得到这个原因。

#使用了PreparedStatement来进行预处理,然后通过set的方式对占位符进行设置,而$则是通过Statement直接进行查询,当有参数时直接拼接进行查询。

所以说我们可以使用jdbc来实现SQL注入。

看一下这两个的代码:

public static void statement(Connection connection) {

  System.out.println("statement-----");

  String selectSql = "select * from user";

  // 相当于mybatis中使用$,拿到参数后直接拼接

  String unsafeSql = "select * from user where id = '' or 1=1;";

  Statement statement = null;

  try {

    statement = connection.createStatement();

  } catch (SQLException e) {

    e.printStackTrace();

  }

  try {

    ResultSet resultSet = statement.executeQuery(selectSql);

    print(resultSet);

  } catch (SQLException e) {

    e.printStackTrace();

  }

  System.out.println("---****---");

  try {

    ResultSet resultSet = statement.executeQuery(unsafeSql);

    print(resultSet);

  } catch (SQLException e) {

    e.printStackTrace();

  }

}

public static void preparedStatement(Connection connection) {

  System.out.println("preparedStatement-----");

  String selectSql = "select * from user;";

  //相当于mybatis中的#,先对要执行的sql进行预处理,设置占位符,然后设置参数

  String safeSql = "select * from user where id =?;";

  PreparedStatement preparedStatement = null;

  try {

    preparedStatement = connection.prepareStatement(selectSql);

    ResultSet resultSet = preparedStatement.executeQuery();

    print(resultSet);

  } catch (SQLException e) {

    e.printStackTrace();

  }

  System.out.println("---****---");

  try {

    preparedStatement = connection.prepareStatement(safeSql);

    preparedStatement.setString(1," '' or 1 = 1 ");

    ResultSet resultSet = preparedStatement.executeQuery();

    print(resultSet);

  } catch (SQLException e) {

    e.printStackTrace();

  }

}

public static void print(ResultSet resultSet) throws SQLException {

  while (resultSet.next()) {

    System.out.print(resultSet.getString(1) + ", ");

    System.out.print(resultSet.getString("name") + ", ");

    System.out.println(resultSet.getString(3));

  }

}

总结

  • Mybatis中使用#可以防止SQL注入,$并不能防止SQL注入
  • Mybatis实现SQL注入的原理是调用了jdbc中的PreparedStatement来进行预处理。

本文由博客一文多发平台 OpenWrite 发布!

博主邮箱:liunaijie1996@163.com,有问题可以邮箱交流。

Mybatis是如何实现SQL防注入的的更多相关文章

  1. SQL防注入程序 v1.0

    /// ***************C#版SQL防注入程序 v1.0************ /// *使用方法: /// 一.整站防注入(推荐) /// 在Global.asax.cs中查找App ...

  2. PHP之SQL防注入代码集合(建站常用)

    SQL防注入代码一 <?php if (!function_exists (quote)) { function quote($var) { if (strlen($var)) { $var=! ...

  3. sql 防注入 维基百科

    http://zh.wikipedia.org/wiki/SQL%E8%B3%87%E6%96%99%E9%9A%B1%E7%A2%BC%E6%94%BB%E6%93%8A SQL攻击(SQL inj ...

  4. 特殊字符的过滤方法,防sql防注入代码的过滤方法

    特殊字符的过滤方法 function strFilter($str){ //特殊字符的过滤方法 $str = str_replace('`', '', $str); $str = str_replac ...

  5. SQL防注入程序

    1.在Global.asax.cs中写入: protected void Application_BeginRequest(Object sender,EventArgs e){      SqlIn ...

  6. PHP SQL防注入

    过年前后在做一个抽奖的东西,需要用户填写中奖信息,为了防止非法用户对数据库进行入侵神马的,于是写下基本的防注入语句,需要用的可以自己封装成一个function. $str = str_replace( ...

  7. 360提供的SQL防注入

    <?php class sqlsafe { private $getfilter = "'|(and|or)\\b.+?(>|<|=|in|like)|\\/\\*.+?\ ...

  8. .net sql 防注入 httpmodule

    1 新建一个类,实现IHttpModule接口 using System; using System.Collections.Generic; using System.Linq; using Sys ...

  9. PHP之SQL防注入代码(360提供)

    <?php class sqlsafe { private $getfilter = "'|(and|or)\\b.+?(>|<|=|in|like)|\\/\\*.+?\ ...

随机推荐

  1. Lambda plus: 云上大数据解决方案

    本文会简述大数据分析场景需要解决的技术挑战,讨论目前主流大数据架构模式及其发展.最后我们将介绍如何结合云上存储.计算组件,实现更优的通用大数据架构模式,以及该模式可以涵盖的典型数据处理场景. 大数据处 ...

  2. iptables 防止DoS攻击

    SYN洪水是攻击者发送海量的SYN请求到目标服务器上的一种DoS攻击方法,下面的脚本用于预防轻量级的DoS攻击:ipt-tcp.sh: iptables -N syn-flood (如果您的防火墙默认 ...

  3. @hdu - 6372@ sacul

    目录 @description@ @solution@ @accepted code@ @details@ @description@ 定义矩阵 \(A_i\) 是一个大小为 \(p^i*p^i\) ...

  4. TAE words

    love handle   pang   carbohydrate   podiatry   splay out   Cinderella   liposuction   mingle   fly t ...

  5. oracle使用表的别名(Alias)

    当在SQL语句中连接多个表时, 请使用表的别名并把别名前缀于每个Column上.这样一来,就可以减少解析的时间并减少那些由Column歧义引起的语法错误.   (Column歧义指的是由于SQL中不同 ...

  6. Project Euler Problem 8-Largest product in a series

    直接暴力 写完才想到,代码写矬了,扫一遍就出结果了,哪还用我写的这么麻烦 ss = '''73167176531330624919225119674426574742355349194934 9698 ...

  7. Javassist指引(一)

    目录 原文链接 1. 读写字节码 1.1概述 Javassist是一个Java字节码类库.Java的字节码是包含Java类与接口,并按照一定的顺序存在class文件中. Javassist.CtCla ...

  8. python基础十之装饰器

    1,装饰器的形成 编程原则:开放封闭原则. 开放:对扩展是开放的 封闭:对修改是封闭的 因为修改是封闭的,所以为了对函数进行功能的扩展,就使用装饰器! 2,装饰器的定义 # wrapper就是一个装饰 ...

  9. P1081 弹珠游戏

    题目出处 灵灵和他的小伙伴聪聪发掘了一个骨灰级别的游戏--超级弹珠. 游戏的内容是:在一个 n*n 的矩阵里,有若干个敌人,你的弹珠可以摧毁敌人,但只能攻击你所在的行.列里的所有敌人,然后你就可以获得 ...

  10. P1045 和为给定数

    题目描述 给出若干个整数,询问其中是否有一对数的和等于给定的数. 输入格式 共三行: 第一行是整数 \(n(0 \lt n \le 100000)\) ,表示有 \(n\) 个整数. 第二行是n个整数 ...