深入源码,探究#、$号替换符的区别

于 2024-07-08 09:57:47 发布
阅读量906 收藏 18
点赞数 22
文章标签: java mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Azir_/article/details/140260343
版权

在Mybatis的日常使用过程中以及在一些技术论坛上我们都能常常听到,不要使用$符号来进行SQL的编写,要使用#符号,否则会有SQL注入的风险。那么,为什么在使用$符号时会有注入的风险呢,以及#号为什么不会有风险呢?这一期我们来从源码分析一下。

$号占位符

在Mybatis替换SQL占位符时,会针对$#号进行解析替换操作。然而对于$号来说,仅仅只会将该参数对应的值拼接在SQL中而已。

前置知识

在Mybatis中,SQL会被解析成一个个的SqlNode,对于不同的SqlNodeMybatis的解析处理都是不一样的。
一般情况来说,SQL中存在$号的话,都会被解析成TextSqlNode

解析并替换

Mybatis中,解析TextSqlNode的占位符主要使用到两个类

  1. GenericTokenParser:用于查找SQL中具体的占位符以及占位符代表的属性名
  2. TokenHandler:根据占位符的属性名获取对应的值
public String parse(String text) {
    if (text == null || text.isEmpty()) {
      return "";
    }
    // search open token
    // 找到$号所在的位置
    int start = text.indexOf(openToken);
    if (start == -1) {
      return text;
    }
    char[] src = text.toCharArray();
    int offset = 0;
    final StringBuilder builder = new StringBuilder();
    // 占位符中的变量名
    StringBuilder expression = null;
    do {
      if (start > 0 && src[start - 1] == '\\') {
        // this open token is escaped. remove the backslash and continue.
        builder.append(src, offset, start - offset - 1).append(openToken);
        offset = start + openToken.length();
      } else {
        // found open token. let's search close token.
        if (expression == null) {
          expression = new StringBuilder();
        } else {
          expression.setLength(0);
        }
        builder.append(src, offset, start - offset);
        offset = start + openToken.length();
        int end = text.indexOf(closeToken, offset);
        while (end > -1) {
          if ((end <= offset) || (src[end - 1] != '\\')) {
            expression.append(src, offset, end - offset);
            break;
          }
          // this close token is escaped. remove the backslash and continue.
          expression.append(src, offset, end - offset - 1).append(closeToken);
          offset = end + closeToken.length();
          end = text.indexOf(closeToken, offset);
        }
        if (end == -1) {
          // close token was not found.
          builder.append(src, start, src.length - start);
          offset = src.length;
        } else {
          // 从TokenHandler中解析出变量名对应的参数值
          builder.append(handler.handleToken(expression.toString()));
          offset = end + closeToken.length();
        }
      }
      start = text.indexOf(openToken, offset);
    } while (start > -1);
    if (offset < src.length) {
      builder.append(src, offset, src.length - offset);
    }
    return builder.toString();
  }

在这个parse方法中,最终的解析方法在47行:

builder.append(handler.handleToken(expression.toString()));

在这一行代码会调用TokenHandler这个类的handleToken方法,获取参数名对应的结果

public String handleToken(String content) {
    Object parameter = context.getBindings().get("_parameter");
    if (parameter == null) {
        context.getBindings().put("value", null);
    } else if (SimpleTypeRegistry.isSimpleType(parameter.getClass())) {
        context.getBindings().put("value", parameter);
    }
    Object value = OgnlCache.getValue(content, context.getBindings());
    String srtValue = value == null ? "" : String.valueOf(value); // issue #274 return "" instead of "null"
    checkInjection(srtValue);
    return srtValue;
}

这个方法主要涉及几个操作

  1. 使用Ognl获取该参数名对应的值。

该结果值是直接使用String.valueOf进行解析,那么在这一步中,就有可能导致SQL注入的问题了。

  1. 检查结果是否有注入风险。

这个方法名checkInjection看起来就像是用于检查解析后的结果是否有注入SQL的风险的。但是呢,这个方法并不会起任何作用。因为这个方法起作用的前提是injectionFilter得不为null,但是在Mybatis中,并没有对这个属性进行任何的赋值行为,所以也就没有任何用处了。

private void checkInjection(String value) {
    if (injectionFilter != null && !injectionFilter.matcher(value).matches()) {
        throw new ScriptingException("Invalid input. Please conform to regex" + injectionFilter.pattern());
    }
}

解析例子

现在有一条使用了$号的SQL:

SELECT * FROM log WHERE content='${id}'

content哈哈哈时,经过Mybatis的解析后,会变成什么样呢?

SELECT * FROM log WHERE content='哈哈哈'

这样的SQL并没有任何问题,但是如果此时content的值为哈哈哈'; DROP TABLE log --的话,SQL解析后的结果就长这样了:

SELECT * FROM log WHERE content='哈哈哈'; DROP TABLE log --'

就会导致整个log表的数据被清除了,而这正是不当使用**$**的问题了。

#号占位符

既然$号有这么多的问题,为什么#号却不会有SQL注入的问题呢?我们来从实际例子来逐步展开。
现在有一个简单的SQL语句:

SELECT * FROM log WHERE content=#{id}

这个语句唯一不同的点就是将'${id}'换成了#{id},但是在Mybatis中的解析却是天差地别了。

初始化解析

$号不一样的是,在初始化Mybatis的MappedStatement时,检测到#号时,会提前初始化该SQL语句。无论是在注解中写SQL还是在Xml文件中写SQL,解析#号的方法最终都会进入到org.apache.ibatis.builder.SqlSourceBuilder#parse这个方法中。

public SqlSource parse(String originalSql, Class<?> parameterType, Map<String, Object> additionalParameters) {
    ParameterMappingTokenHandler handler = new ParameterMappingTokenHandler(configuration, parameterType,
                                                                            additionalParameters);
    GenericTokenParser parser = new GenericTokenParser("#{", "}", handler);
    String sql;
    if (configuration.isShrinkWhitespacesInSql()) {
        sql = parser.parse(removeExtraWhitespaces(originalSql));
    } else {
        sql = parser.parse(originalSql);
    }
    return new StaticSqlSource(configuration, sql, handler.getParameterMappings());
}

这个解析与$号的解析类似,也是由TokenHandler类进行参数名与对象之间的转换。
#号的替换中,则是ParameterMappingTokenHandler来进行参数名与对象之间的转换。
但是这个类的handleToken方法比较特别,返回值居然是一个**?**。并且在返回结果之前,还有一步操作

public String handleToken(String content) {
    parameterMappings.add(buildParameterMapping(content));
    return "?";
}

这个buildParameterMapping方法太长了,还是来看看具体返回了啥吧。
image.png
可以看到,这个方法的作用似乎是给SQL中的每一个占位符进行参数解析,将占位符对应的参数的类型、数据库类型、填充类型等都进行了解析。
这个初始化解析结束后,这一条SQL就变成了下面的样子了:

SELECT * FROM log WHERE content=?

并且还有一个集合parameterMappings装载了SQL中占位符的属性。

实际替换参数

初始化后,Mybatis在真正查询就会将利用PreparedStatement进行?占位符的替换了。

// org.apache.ibatis.scripting.defaults.DefaultParameterHandler#setParameters
public void setParameters(PreparedStatement ps) {
    ErrorContext.instance().activity("setting parameters").object(mappedStatement.getParameterMap().getId());
    // 这个parameterMappings正是出事话解析SQL得到的参数映射集合
    List<ParameterMapping> parameterMappings = boundSql.getParameterMappings();
    if (parameterMappings != null) {
        MetaObject metaObject = null;
        // 遍历每一个参数映射
        for (int i = 0; i < parameterMappings.size(); i++) {
            ParameterMapping parameterMapping = parameterMappings.get(i);
            if (parameterMapping.getMode() != ParameterMode.OUT) {
                // 获取参数对应的值
                Object value;
                String propertyName = parameterMapping.getProperty();
                if (boundSql.hasAdditionalParameter(propertyName)) { // issue #448 ask first for additional params
                    value = boundSql.getAdditionalParameter(propertyName);
                } else if (parameterObject == null) {
                    value = null;
                } else if (typeHandlerRegistry.hasTypeHandler(parameterObject.getClass())) {
                    value = parameterObject;
                } else {
                    if (metaObject == null) {
                        metaObject = configuration.newMetaObject(parameterObject);
                    }
                    value = metaObject.getValue(propertyName);
                }
                TypeHandler typeHandler = parameterMapping.getTypeHandler();
                JdbcType jdbcType = parameterMapping.getJdbcType();
                if (value == null && jdbcType == null) {
                    jdbcType = configuration.getJdbcTypeForNull();
                }
                try {
                    // 设置每个?号对应的值
                    typeHandler.setParameter(ps, i + 1, value, jdbcType);
                } catch (TypeException | SQLException e) {
                    throw new TypeException("Could not set parameters for mapping: " + parameterMapping + ". Cause: " + e, e);
                }
            }
        }
    }
}

typeHandler.setParameter这个方法则是利用了PreparedStatement类的方法,将?替换成传入的参数。
image.png
PreparedStatement在填充具体值会对参数进行转义,比如上述的SQL以及参数在查询时则会变成:

SELECT * FROM log WHERE content='哈哈哈''; DROP TABLE log --'

则不会有SQL注入的风险了。

总结

$号:直接替换占位符中的内容,在不对参数进行校验的情况下,易出现SQL注入问题。
#号:在预编译SQL的前提下,将参数名替换成?号,并利用PreparedStatement进行占位符的替换,在替换过程中,会对注入值进行转义避免SQL注入。

Azir_12138
关注
vue基础语法01
m0_67476502的博客
04-26 742
目录 1.1 插值 1.1.4 表达式 完整代码 1.2 指令(指的是带有“v-”前缀的特殊属性) 参数,动态参数及简写​ 完整代码 过滤器(全局和局部) 完整代码 计算属性 完整代码 1)v-model:数据双向绑定 2)v-bind:绑定标签属性值,例如:v-bind:class/v-bind:id 3){{}}:插值,针对标签中文本值进行插入操作 1.1 插值 1.1.1 文本 {{msg}} 1.1.2 html ...
Spring源码——容器扩展ApplicationContext
等一杯咖啡的博客
10-06 4390
Spring源码——容器扩展ApplicationContext 前言 内容主要参考自《Spring源码深度解析》一书,算是读书笔记或是原书的补充。进入正文后可能会引来各种不适,毕竟阅读源码是件极其痛苦的事情。 本文主要涉及书中第六章的部分,依照书中内容以及个人理解对Spring进行了注释,详见Github仓库:https://github.com/MrSorrow/spring-framewor...
PostgreSQL do $$ DECLARE 操作
热门推荐
damoneric_guo的博客
12-26 1万+
PostgreSQL支持无需创建出来即可执行的function,关键字是 do language plpgsql $$ declare begin ... .. . end $$; 示例如下: do $$ DECLARE d_news_id numeric; d_tag_id numeric; cur_list CURSOR FOR select flu.id,fc...
PostgreSQL 匿名函数DO$$和IF-ELSEIF示例与使用单引替换美元
tiantangpw的专栏
11-12 1769
PostgreSQL 匿名函数DO$$和IF-ELSEIF示例与使用单引替换美元
postgreSQL函数糖
maverick0的专栏
07-03 236
SQL的编写可以直观数据分布。大部分同学用SQL用的都是select xx from join xx on where。 SQL的优势不在于它的单原子数据处理,当表很多的时候,相似处理的抽象让代码变得简洁。 IDE 推荐DataGrip 编译运行,都很便捷。分分钟解决问题,提升效率 变量 定义变量 declare variable_name data_type [:= expression]; 例如: declare counter INTEGER := 1; f
$("#ID")
qq_21763381的博客
06-26 2107
$("#ID")用来代替doucment.getElementById()函数,即通过ID获取元素
深入PHP:面向对象、模式与实践(第3版)(源码)
01-04
- **封装**:学习如何通过访问修饰(public, protected, private)来控制类成员的可见性。 - **继承**:理解类的继承机制,如何创建子类并重写父类方法。 - **多态**:探究多态性如何使代码更具灵活性,以及...
tomcat源码
10-08
这个源码压缩包包含了Tomcat的核心组件,让我们深入探究其中的关键知识点。 1. **目录结构**: - `bin`:包含启动和停止Tomcat的脚本。 - `conf`:存储服务器配置文件,如server.xml、context.xml等。 - `lib`:...
Windows内核安全与驱动开发光盘源码
07-11
9.7.3 对安装的深入探究 165 第10章 磁盘的过滤 167 10.1 磁盘过滤驱动的概念 167 10.1.1 设备过滤和类过滤 167 10.1.2 磁盘设备和磁盘卷设备过滤驱动 167 10.1.3 注册表和磁盘卷设备过滤驱动 168 10.2 具有...
java8源码-java8-source-code-read:java8源码阅读
06-04
深入探讨Java 8源码之前,我们首先需要了解Java 8的一些核心改变。 1. **函数式编程**:Java 8引入了Lambda表达式,使得函数可以作为一等公民,即可以在任何地方被赋值、存储、传递和调用。Lambda表达式让编写...
$(‘#id‘)[0] 的含义
滴水石穿
04-27 500
$(‘#id’)为 jquery 对象, $(‘#id’)[0]为 js 原生对象 $(‘#id’)[0] = document.getElementById(“id”) ;
postgresql工作中脚本常用语法
Jude的博客
01-27 1509
postgresql工作中脚本常用语法 1.脚本语句格式 do $do$ begin ---代码 end $do$; 2.如果user表中不存在name字段,新增name字段(varchar(40)); do $do$ begin IF (select count(1) from information_schema.columns where table_schema = 'public' and table_name = 'user' and column_name = 'name') = 0
$('#id')[0] 的含义
yournevermore的博客
03-08 4291
$('#id')为 jquery 对象, $('#id')[0]为 js 原生对象$('#id')[0] =document.getElementById("id") ;
getElementById和$(#id)区别简述
wuhawang的博客
07-25 1972
许多像我一样的刚接触web开发的,在没有系统学习html5,js以及jquery的基础上,直接上手,肯定想过或者被这个问题迷惑过 到底 getElementById和$(#id)的区别是什么,使用他们又有什么需要注意的地方呢? 首先,我们平时需要获取一个html中某个标签,我们会使用 document.getElementById("startItem").innerHTML =
jquery中的$("#id")与document.getElementById("id")的区别
weixin_34302798的博客
09-25 439
以前一直认为jquery中的$("#id")和document.getElementByIdx_x("id")得到的效果是一样的,今天做特效的时候才发现并不是这么一回事,通过测试得到: 1、alert($("#div"))得到的是[object Object] 2、alert(document.getElementById("div"))得到的是[object HTMLDivElement] ...
JVM学习总结(六):深入探究JVM类加载机制及JIT简介
weixin_42208959的博客
08-03 887
前言 正文 一、JVM 即时编译器 JIT 1、解释执行与 JIT Java 程序在运行的时候,主要就是执行字节码指令,一般这些指令会按照顺序解释执行,这种就是解释执行,解释执行的方式是非常低效的,它需要把字节码先翻译成机器码,才能往下执行。另外,字节码是 Java 编译器做的一次初级优化,许多代码可以满足语法分析,其实还有很大的优化空间。 所以,为了提高热点代码的执行效率,在运行时,虚拟机将会把这些代码编译成与本地平台相关的机器码,并进行各种层次的优化。 完成这个任务的编译器,就称为即时编译器(Just
传智播客扫地僧视频讲义源码
04-03
25_new和delete的深入分析 26_静态成员变量和静态成员函数 27_C++面向对象模型初探_传智扫地僧 28_this指针 29_作业 源码及文档 01_上一次课程回顾 02_const修饰的是谁_传智扫地僧 03_this的const修饰课堂答疑 04_...
js中用$(“#ID”)来作为选择器的问题(id重复的时候)
请叫我大师兄
01-06 5367
js选择器的理解(id重复的时候)
PostgreSQL 11 新特性之 PL/pgSQL 增强
Tony.Dong的专栏
01-14 3871
PostgreSQL 11 增加了一个新的编程对象,存储过程(PROCEDURE)。 PostgreSQL 11 支持在 PL/pgSQL 中定义非空(NOT NULL)变量,包括非空常量。 PostgreSQL 11 还支持在 PL/pgSQL 代码块中使用 SET TRANSACTION 语句设置事务的隔离级别。
do和$/一点组合使用
LGDdong的专栏
09-12 244
前序 我们知道,do 'filename'是从文件里读出内容然后执行其中的语句,返回最后一个表达式的值,好了还有perl特殊字的就是 噔噔--    $/ 啦, 只是起到分隔的作用,即对匹配的字分割。   好了说完了,正式如题, 如果在使用 my $pro=do{ local $/; &lt;filename&gt; } print $pro; $/ 没有赋值会怎样,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值