Mybatis 防止 sql 注入的原理

最新推荐文章于 2022-04-22 09:57:37 发布
最新推荐文章于 2022-04-22 09:57:37 发布
阅读量318 收藏 2
点赞数 1
分类专栏: MySQL Java 文章标签: sql mysql 数据库
原文链接:https://stackoverflow.com/a/8265319
版权

首先看一下 Mybatis 的查询过程:

Creating a new SqlSession
SqlSession [org.apache.ibatis.session.defaults.DefaultSqlSession@1896ae05] was not registered for synchronization because synchronization is not active
==> Parameters: 1459(String)
2021-09-18 06:35:20.413 DEBUG 6 --- [nio-8080-exec-1] o.s.jdbc.datasource.DataSourceUtils      : Fetching JDBC Connection from DataSource
JDBC Connection [com.mysql.jdbc.JDBC4Connection@14aeb8db] will not be managed by Spring
==>  Preparing: select map_link from map_info where map_id=? limit 1;
<==      Total: 0
==> Parameters: 1458(String)
Closing non transactional SqlSession [org.apache.ibatis.session.defaults.DefaultSqlSession@500b701f]

可以发现, Mybatis 先是开启了一次 SqlSession 查询,然后进行 Preparing,这个过程其实对应的就是 PreparedStatement,它做了一件核心的事情:将 SQL 执行语句和参数进行分离了

所谓分离,指的是 sql 执行语句和传入的参数是分开的,参数用占位符 ? 来代替。

接下来看一下 MySql 一次查询的原理过程(《高性能 MYSQL》)

MySQL执行一个查询的过程如图6-1所示:

  1. 在通信协议的支持下,客户端向MySQL服务器发送一条查询语句
  2. 服务器先检查查询缓存,如果命中了缓存,则立刻返回存储在缓存中的结果
  3. 否则,服务器端进行SQL解析、预处理,再由优化器生成对应的执行计划
  4. MySQL根据优化器生成的执行计划,调用存储引擎的API来执行查询
  5. 将结果返回给客户端
    请添加图片描述

看一下 StackOverFlow 上的回答:

While in case of prepared statements we don’t alter our program, it remains intact

假设对于下列语句

$spoiled_data = "1; DROP TABLE users;"
$query        = "SELECT * FROM users where id=$spoiled_data";

其防注入的过程如下:

  1. 向 MySQL 发送一条查询语句,数据会被占位符的 ?的变量替换 。注意,该条查询被发送到服务器,其中是没有任何数据

    $db->prepare("SELECT * FROM users where id=?");

  2. 接着发送数据到 MySQL 服务器上。也就是这条命令,MySQL只会把他当成数据放到占位符上,里面即使有 SQL 命令并不会去执行,于是便防止了注入

    $db->execute($data);
chao3150
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis的$()和#()
qq_36687977的博客
05-17 732
关于mybatis的$()和#() #{}和${}的区别: #{} #{} 占位符:预编译,参数占位符 ?,防止sql注入 ${} ${} 拼接符:编译,字符串拼接 注意事项: order by 和 limit 和 like 的使用 order by 和 like 在使用时只能使用$()拼接符: 用 #{}会导致sql语句中多个 ’ ’ ,sql语句失效. limit可以使用#{} 示例: //mapper.xml文件 <mapper namespace="com.example.map
SQL注入防范
u014551778的博客
03-11 82
1. 尽量使用statementType="PREPARED",条件变量都用#{},有表名变量的话用${},一定要做好校验。 2. limit #{}不能用来计算,用${}有风险,最好是在代码计算好start和end,再传入limit #{start},#{end} 3. order by 不能用#{}选择列名,用${}有风险。 4. 特殊字符建议用CDATA包住。 5.like ‘%$name$% 建议写成 <![CDATA[ ANDname LIKECONCAT('%', #{na...
mybatis防止sql注入原理
weixin_40773255的博客
05-23 2032
1.什么是sql注入?最早接触sql注入是在大学的时候,其实我理解,就是sql 对传入参数的拼接,会引发安全问题,举个例子select  name from student where id = ();   这里括号里的参数我如果传 “3;drop table student;”,就发生注入了。2.原理,怎么防止?发生sql注入的原因是,不安全的参数拼接,编译后,sql执行,如上例子,会出现问题。...
MyBatis原理--缓存机制
IT利刃出鞘的博客
02-05 1739
Mybatis的缓存,包括一级缓存和二级缓存。 一级缓存的作用域是一个sqlsession内;二级缓存作用域是针对mapper进行缓存。 实际上,在开发过程中根本不会用到Mybatis的这两个缓存。因为这两个都不支持分布式,如果想用缓存,那么直接用Redis的功能就好了呀。虽然二级缓存可以使用MemCache、Ehcache、Redis等可以做到支持分布式,但,这样用的基本没有。。。
mybatis中的limit参数
qq_22855003的博客
04-16 2万+
参数page=1,rows=3错误写法:select   *   from  xxx  limit  #{page},#{rows}报错:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use ne...
mybatis防止SQL注入的方法实例详解
08-27
SQL注入是一种很简单的攻击手段,但直到今天仍然十分常见。那么mybatis是如何防止SQL注入的呢?下面脚本之家小编给大家带来了实例代码,需要的朋友参考下吧
Mybatis防止sql注入的实例
08-30
本文通过实例给大家介绍了Mybatis防止sql注入的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
java持久层框架mybatis防止sql注入的方法
09-01
下面小编就为大家带来一篇java持久层框架mybatis防止sql注入的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
mybatissql_mybatis解决sql注入
12-22
全新的sql框架
Mybatis逻辑分页原理解析RowBounds
热门推荐
井底之蛙
02-26 7万+
物理分页Mybatis插件原理分析(三)分页插件 Mybatis提供了一个简单的逻辑分页使用类RowBounds(物理分页当然就是我们在sql语句中指定limit和offset值),在DefaultSqlSession提供的某些查询接口中我们可以看到RowBounds是作为参数用来进行分页的,如下接口:   public &lt;E&gt; List&lt;E&gt; selectLis...
Mybatis框架(十)Mybatis使用limit实现分页
专注Java后端技术干货、项目源码总结分享,期待您的关注。
03-01 1418
Mybatis使用limit实现分页,前面的创建Maven项目,导入所需依赖包等环境在这里不再介绍。 主要实现过程如下: 一、编写Mapper接口。 List<Stu> getStuByLimit(Map<String,Integer> map); //分页 二、编写Mapper对应的映射文件。 <!--分页--> <select id...
如何防止SQL 注入
Pastxu的小屋
04-22 535
简介 文章主要内容包括: Java 持久层技术/框架简单介绍 不同场景/框架下易导致 SQL 注入的写法 如何避免和修复 SQL 注入 JDBC 介绍 全称 Java Database Connectivity 是 Java 访问数据库的 API,不依赖于特定数据库 ( database-independent ) 所有 Java 持久层技术都基于 JDBC 说明 直接使用 JDBC 的场景,如果代码中存在拼接 SQL 语句,那
mysql limit sql注入_LIMIT子句中的盲 SQL注入漏洞利用
weixin_29092579的博客
01-21 426
原文:https://www.noob.ninja/2019/07/exploiting-tricky-blind-sql-injection.html前言嘿!有好长时间没有更新过博客了,不知道大家有没有想我。今天我为大家带来的下饭故事是关于盲SQL注入,这是我在一个私有赏金计划中发现的。通过被动侦察范围内的子域,我发现技术堆栈为PHP,因此我断定其中一定存在漏洞。它可以创建图像相册,在相册中,你...
php中防止sql注入攻击
大鱼人不能忍烫金竹纤维短袖
01-17 771
(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集  使用方法如下: $sql = "select count(*) as ctr from users where username='".mysql_real_escape_string($username)."' and password='". my
MyBatis如何防止SQL注入
fmwind的专栏
03-01 1万+
SQL注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的实体字段中 SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性要求很高的应用中(比如银行软件),经常使用将SQL
mybatis是如何防止SQL注入
义臻的博客
08-11 3万+
SQL注入是一种很简单的攻击手段,但直到今天仍然十分常见。究其原因不外乎:No patch for stupid。为什么这么说,下面就以JAVA为例进行说明: 假设数据库中存在这样的表: table user( id varchar(20) PRIMARY KEY , name varchar(20) , age varchar(20) );   ...
MyBatis #{}为什么防注入?#{}与${}区别
Hi,appmy.cn!
02-22 1476
#{}一定不能写在引号里面,${}一定要写在引号里面 如果是pojo、map类型的参数,无论是#{}还是${}里面都是些属性名 如果是简单类型的参数,#{}里面可以写任意字符串,但是${}里面只能写value(以前的版本) #{} 能防止sql 注入,${} 不能防止sql 注入
mybatis防止sql注入
最新发布
04-07
MyBatis 有以下几种方法来防止 SQL 注入: 1. 使用参数化查询 MyBatis 推荐使用参数化查询来防止 SQL 注入。参数化查询使用 ? 或者 #{param} 来表示占位符,然后使用 PreparedStatement 进行预编译,将参数设置到占位符中,最后执行查询操作。这种方式可以避免用户输入的参数直接拼接到 SQL 语句中,从而防止 SQL 注入攻击。 示例: ``` <select id="getUserById" parameterType="int" resultType="User"> SELECT * FROM user WHERE id = #{id} </select> ``` 2. 使用动态 SQL MyBatis 的动态 SQL 可以根据条件动态生成 SQL 语句,避免拼接 SQL 语句时产生 SQL 注入漏洞。MyBatis 提供了多种动态 SQL 标签,如 if、choose、when、otherwise、foreach、set、trim、where、sql 等。 示例: ``` <select id="getUserList" parameterType="Map" resultType="User"> SELECT * FROM user <where> <if test="name != null and name != ''"> AND name = #{name} </if> <if test="age != null"> AND age = #{age} </if> </where> </select> ``` 3. 使用 SQL 注入过滤器 MyBatis 可以通过插件来实现 SQL 注入过滤器,对于输入的参数进行过滤和转义,确保参数不会被注入SQL 语句中。 示例: ``` public class SqlInjectionPlugin implements Interceptor { @Override public Object intercept(Invocation invocation) throws Throwable { Object[] args = invocation.getArgs(); for (int i = 0; i < args.length; i++) { if (args[i] instanceof String) { args[i] = sqlInjectionFilter((String) args[i]); } } return invocation.proceed(); } private String sqlInjectionFilter(String param) { // 进行参数过滤和转义 return param; } @Override public Object plugin(Object target) { return Plugin.wrap(target, this); } @Override public void setProperties(Properties properties) { // 配置属性 } } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值