SQL注入

目录

一、使用 #{ } (占位符 ?)

二、使用 ${ } (字符串拼接)

三、总结

---

利用拼接sql字符串，拼接出各种sql，在服务端执行。使服务端数据泄露，甚至被任意篡改。

在SQL语句中使用#{}和${}的区别主要在于如何处理动态插入的值，这对于防止SQL注入攻击至关重要

一、使用 #{ } (占位符 ?)

• 当你使用#{}时，MyBatis或其他ORM框架会将参数值作为预编译SQL语句中的占位符（通常是问号?）。这意味着实际执行的SQL语句结构不会改变，参数值会被安全地替换到占位符位置，从而避免SQL注入。

示例 SQL:

SELECT * FROM tbl WHERE password = #{password}

如果传入 1 or 1=1 作为密码，执行的SQL将是：

SELECT * FROM tbl WHERE password = '1 or 1=1'

这里的单引号将整个表达式包裹起来，使其作为一个字符串值被匹配，而不是作为SQL逻辑的一部分执行。因此，这不会导致SQL注入。

二、使用 ${ } (字符串拼接)

使用${}时，参数值会被直接插入到SQL语句中，就像字符串拼接一样。这意味着如果参数值包含SQL关键字或逻辑，它们将被直接解释为SQL的一部分，这可能导致SQL注入

示例 SQL:

SELECT * FROM tbl WHERE password = #{password}

如果传入 1 or 1=1 作为密码，执行的SQL将是：

SELECT * FROM tbl WHERE password = 1 or 1=1  -- 会将全部信息查出来，不安全！！

这将被数据库解析为一个条件表达式，由于1=1总是真，所以这个查询实际上会返回表中所有的记录，从而可能泄露敏感信息并构成安全风险

三、总结

• 使用#{}更安全，因为它可以防止SQL注入。

• 使用${}可能会导致安全问题，除非你完全信任输入数据并且确定它们不会包含恶意SQL代码。

• 在处理用户输入或动态生成SQL时，强烈建议使用#{}来代替${}。