Mybatis如果防止sql注入

最新推荐文章于 2024-07-13 15:36:01 发布
最新推荐文章于 2024-07-13 15:36:01 发布
阅读量816 收藏 2
点赞数
分类专栏: mybatis 文章标签: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hanjiaqian/article/details/113246841
版权

前序:SQL注入就是通过传入参数携带一些关键字,例如:select * from tablename where name = "张三" or " name = '李四' ";【张三" or " name = '李四'】这段参数就是刻意注入拼接进来造成李四也被查出来了;那么如何避免呢,那就不得不说说mybatis的${}跟#{}的区别了;

#{}:

<select id="getBlogById" resultType="Blog" parameterType=”int”>

         SELECT id,title,author,content

         FROM blog

WHERE id=#{id}

</select>

SELECT id,title,author,content FROM blog WHERE id = ?

不管输入什么参数,打印出的SQL都是这样的。这是因为MyBatis启用了预编译功能,在SQL执行前,会先将上面的SQL发送给数据库进行编译;执行时,直接使用编译好的SQL,替换占位符“?”就可以了。因为SQL注入只能对编译过程起作用,所以这样的方式就很好地避免了SQL注入的问题。

【底层实现原理】MyBatis是如何做到SQL预编译的呢?其实在框架底层,是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行同一个SQL时,能够提高效率。原因是SQL已编译好,再次执行时无需再编译。

${}:

<select id="getBlogById" resultType="Blog" parameterType=”int”>

         SELECT id,title,author,content

         FROM blog

WHERE id=${id}

</select>

SELECT id,title,author,content FROM blog WHERE id = 3

仔细观察,内联参数的格式由“#{xxx}”变为了“${xxx}”。如果我们给参数“id”赋值为“3”,将SQL打印出来是这样的:

显然,这样是无法阻止SQL注入的。在MyBatis中,“${xxx}”这样格式的参数会直接参与SQL编译,从而不能避免注入攻击。但涉及到动态表名和列名时,只能使用“${xxx}”这样的参数格式。所以,这样的参数需要我们在代码中手工进行处理来防止注入。

在编写MyBatis的映射语句时,尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止SQL注入攻击。

#{}:相当于JDBC中的PreparedStatement

${}:是输出变量的值

简单说,#{}是经过预编译的,是安全的;${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。

hanjq_code
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis是这样防止sql注入
KHOST的博客
01-12 414
Mybatis这个框架在日常开发中用的很多,比如面试中经常有一个问题:$和#的区别,它们的区别是使用#可以防止SQL注入,今天就来看一下它是如何实现SQL注入的。 什么是SQL注入 在讨论怎么实现之前,首先了解一下什么是SQL注入,我们有一个简单的查询操作:根据id查询一个用户信息。 它的sql语句应该是这样:select * from user where id =。 ...
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
mybatis中#{}与${}的差别(如何防止sql注入
热门推荐
E=mc²
04-24 1万+
默认情况下,使用#{}语法,MyBatis会产生PreparedStatement语句中,并且安全的设置PreparedStatement参数,这个过程中MyBatis会进行必要的安全检查和转义。 #相当于对数据 加上 双引号,$相当于直接显示数据 示例1: 执行SQL:select * from emp where name = #{employeeName} 参数:employeeNa
Mybatis防止SQL注入
最新发布
Jc0803kevin的专栏
07-13 983
防止SQL注入的中心思想就是参数化查询,将输入当作参数传递,而不是直接拼接到 SQL 语句中。常见的防止SQL注入的方式1、#{}2、3、[配置 SQL 注入过滤器](#配置 SQL 注入过滤器)
mybatis防止sql注入
weixin_42992109的博客
10-09 494
在编写MyBatis的映射语句时,尽量采用#{xxx}这样的格式。若不得不使用${xxx}这样的参数,要手工地做好过滤工作,来防止SQL注入攻击。 #{}:相当于JDBC中的PreparedStatement ${}:是输出变量的值 #{}是经过预编译的,是安全的;${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。 ...
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.txt|Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.txt
09-05
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么答案 Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么答案
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.详情介绍
06-09
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.详情介绍Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.详情介绍Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,...
MyBatis防止SQL注入的方法
红烧大熊猫的博客
01-06 8335
MyBatis防止SQL注入方法 文章目录MyBatis防止SQL注入方法1. 前言2. 示例3. 不用MyBatis防止SQL注入的方法4. 原理5. 参考链接 1. 前言     这个问题其实就是问MyBatis中的#{}和KaTeX parse error: Expected 'EOF', got '#' at position 19: …号的区别,在MyBatis中,#̲{}是预编译处理, {}是字符串替换。MyBatis在处理#{}时,会将sql中的#{}替
java持久层框架mybatis防止sql注入的方法
09-01
下面小编就为大家带来一篇java持久层框架mybatis防止sql注入的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
浅谈mybatis中的#和$的区别 以及防止sql注入的方法
09-01
下面小编就为大家带来一篇浅谈mybatis中的#和$的区别 以及防止sql注入的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
MybatisMybatis如何防止sql注入
AliceNo的博客
01-03 6594
在软件开发过程中,数据安全一直是至关重要的一环。SQL 注入攻击是一种常见而危险的威胁,攻击者通过恶意构造 SQL 语句,试图绕过应用程序的合法性检查,访问、修改或删除数据库中的数据。MyBatis 作为一款流行的持久层框架,提供了多种机制来防范 SQL 注入攻击,开发者应当充分利用这些机制,保障应用程序的数据安全性。在应对 SQL 注入攻击时,MyBatis 的参数化 SQL 语句、动态 SQL 标签以及拦截器等功能为开发者提供了有力的支持。
MyBatis防止sql注入
qq_37634156的博客
04-07 9017
前言 关于sql注入的解释这里不再赘述。 在MyBatis防止sql注入主要分为两种: 第一种就是MyBatis提供了两种支持动态 sql 的语法 #{}和 ${},其中${} 是简单的字符串替换,而 #{}在预处理时,会把参数部分用一个占位符 ? 代替,可以有效的防止sql的注入,面试的时候经常会问到,这里也不再详细赘述; 第二种是排序防止sql注入,实现方案如下 SQL注入过滤器 以下是sql注入过滤器,当判断出是非法字符时则抛出到自定义的异常类B...
MybatisPlus如何解决SQL注入(必看)
海的那边,还是海吗
09-22 7708
在深入讨论如何防止 SQL 注入之前,让我们首先了解 SQL 注入攻击的工作原理。SQL 注入攻击通常发生在接受用户输入的地方,例如搜索框、登录表单等,攻击者试图在输入中注入恶意 SQL 代码。SELECT * FROM users WHERE username = '输入的用户名' AND password = '输入的密码';如果攻击者输入这将使查询始终返回所有用户的记录,因为'1'='1'始终为真。攻击者可以通过这种方式绕过身份验证,获取或修改敏感数据。
mybatis防注入
whupanyinghua的专栏
06-10 2057
预先编译好,也就是SQL引擎会预先进行语法分析,产生语法树,生成执行计划,也就是说,后面你输入的参数,无论你输入的是什么,都不会影响该SQL语句的语法结构了,因为语法分析已经完成了,而语法分析主要是分析sql命令,比如select,from,where,and,or,order by等等。数据库在执行该语句时,直接使用预编译的语句,然后用传入的userId替换占位符?$ {}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。# {}是经过预编译的,是安全的;$ {}:是输出变量的值。
sql注入
sinat_27450377的博客
10-16 496
${}方式无法防止sql注入; $一般用入传入数据库对象,比如数据库表名; 注意:mybaties排序时使用order by 动态参数时需要注意,使用${}而不用#{}; mybatis深入理解之 # 与 $ 区别以及 sql 预编译xxxx:{xxxx}:将传入的数据直接显示生成在sql中,对于字符串数据,需要手动加上引号。 #{xxxx}:会给数据加双引号mybatis 在对 sql 语句进
mybatis如何防止sql注入
03-31
MyBatis 防止 SQL 注入的方法: 1. 使用参数化查询(PreparedStatement):使用 MyBatis 提供的 #{} 占位符可以防止 SQL 注入,因为它会自动将传入的参数转义。 2. 使用动态 SQL:使用 MyBatis 的动态 SQL 可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值