SQL注入是一种主要在Web应用程序上执行的攻击,在SQL注入中,攻击者通过Web表单等输入接口注入部分恶意SQL。这些注入的语句发送到Web应用程序后面的数据库服务器,可能会执行不需要的操作,例如提供对未经授权的人的访问或删除或读取敏感信息等。
<!DOCTYPE html>
<html>
<body>
<h2>SQL injection in web applications</h2>
<form action=”/form-handler.php”>
Username:<br> <input type=”text” name=”username” value=””> <br>
Password:<br> <input type=”password” name=”password” value=””> <br>
<input type=”submit” value=”Submit”>
</form>
</body>
</html>
SQL注入的工作原理
在上面的示例中,假设用户填写表单如下:
Username: ‘ or ‘1’=’1 Password: ‘ or ‘1’=’1
现在我们的$查询成为:
SELECT * FROM Users WHERE username=” or ‘1’=’1′ AND password=” or ‘1’=’1′;
此查询始终返回一些行,并导致在浏览器上打印登录。因此,攻击者不知道在数据库中注册的任何用户名或密码,但攻击者仍然可以登录。
在Java项目中使用Mybatis框架
- #{}:占位符号,可以防止sql注入(替换结果会增加单引号‘’)
- ${}:sql拼接符号(替换结果不会增加单引号‘’,like和order by后使用,存在sql注入问题,需手动代码中过滤)
动态 SQL 是 mybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } 和 ${ } 会有不同的表现。
#{ }:解析为一个 JDBC 预编译语句(prepared statement)的参数标记符。
例如,Mapper.xml中如下的 sql 语句:
select * from user where name = #{name};
动态解析为:
select * from user where name = ?;
一个 #{ } 被解析为一个参数占位符 ? 。
而${ } 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。
例如,Mapper.xml中如下的 sql:
select * from user where name = ${name};
当我们传递的参数为 "Jack" 时,上述 sql 的解析为:
select * from user where name = "Tom";
预编译之前的 SQL 语句已经不包含变量了,完全已经是常量数据了。
综上所得, ${ } 变量的替换阶段是在动态 SQL 解析阶段,而 #{ }变量的替换是在 DBMS 中。