mybasit预防sql注入小结

最新推荐文章于 2023-01-20 20:26:07 发布
最新推荐文章于 2023-01-20 20:26:07 发布
阅读量173 收藏 1
点赞数 1
分类专栏: mybatis小结 文章标签: mybatis #{} sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40845726/article/details/98531539
版权

          1.#{} 和 ${}的区别

          在xml中#{}中展示的参数类型会自动添加‘ ’,例如:where name =  #{person.name},假如name=张三, 则表达式变为where name = '张三',相当于预编译的方式。

          Connection conn = getConn();

          String slq = " select name from person where name = ?";

          PreparedStatement pstmt = conn.prepareStatement(sql);

          pstmt.setString(1, "张三");

         ResultSet rs=pstmt.executeUpdate();

 

         而${}则是直接展示参数,例如:where name =  ${person.name},假如name=张三, 则表达式变为where name = 张三,相当于预编译的方式。

          Connection conn = getConn();

          String name = “张三”;

          String slq = " select name from person where name = "+name;

          PreparedStatement pstmt = conn.prepareStatement(sql);

         ResultSet rs=pstmt.executeUpdate();

假如name=‘张三;drop table person;’的话用${ }则会直接删除表,但是当传参表示表名,或者排序字段名的时候,则要用${ }形式去接收参数,所以在mybatis xml接收参数的时候,尽量用#{}去接收,除了参数表名字段名之类的用${},用${ }形式接收参数时,一定要提前做好判断。

 

        2.<bind/>元素

在进行模糊查询编写SQL语句时,如果使用“${}”进行字符串拼接,无法防止sql注入问题,bind元素可以提前拼接好模糊查询,并用name属性设置参数别名

<select id="findPersonByName" parameterType="String" resultType="cn.csdn.bean.Student">
      <bind name="nameLike" value="'%'+person.name+'%'"/>
       select name from person where name like #{nameLike} 
      </select>

 

 

  

 

 

我有直升机
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis学习文档
weixin_47356044的博客
08-29 2731
mybatis-9.28 环境: JDK1.8 mysql 8.0.16 maven3.6.1 IDEA 回顾: JDBC mysql jave基础 Maven junit 1.简介 1.1 什么是mybatismybatis是支持普通SQL查询、存储过程和高级映射的优秀持久层框架。 MyBatis 是一款优秀的持久层框架 支持自定义 SQL、存储过程以及高级映射 MyBatis 免除了几乎所有的 JDBC 代码以及设置参数和获取结果集的工作 MyBatis
MyBatis详解
CHENZULAN的博客
05-14 1万+
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Ordinary Java Object,普通的 Java对象)映射成数据库中的记录。
【超详细】MyBatis详解
weixin_48373085的博客
01-20 1万+
Mybatis
初识mybatis及搭建
小乌龟
08-21 3267
概念 MyBatis 是一款优秀的持久层框架,它支持自定义 SQL、存储过程以及高级映射。MyBatis 免除了几乎所有的 JDBC 代码以及设置参数和获取结果集的工作。MyBatis 可以通过简单的 XML 或注解来配置和映射原始类型、接口和 Java POJO(Plain Old Java Objects,普通老式 Java 对象)为数据库中的记录 它属于orm框架的一种 orm框架 o object 对象 r relationship 关系 m mapping 映射 对象关系映射 OR
四、mybatis第四节
lrs998563的博客
06-06 918
在我们日常使用中,缺少不了分页查询,就好比你百度时,那么多的数据,肯定需要分页来处理。那么我们就可以用分页插件来帮我们快速实现分页查询操作首先了解一下分页查询的sql语句: 其中的page代表你想要查询的页码数,pageSize代表你想要每页显示的数据个数。 那么我们该如何使用分页插件呢?具体步骤如下:(1)在pom.xml中引入pageHelper的依赖jar包 (2) 在mybatis.xml中设置pageHelper的拦截器(写在configuration标签内)
sql防注入总结
sillentHill的博客
02-16 435
sql防注入总结 如何预防SQL注入? 1. 严格限制Web应用的数据库的操作权限,给此用户提供仅仅能满足其工作的最低权限, 从而最大限度的减少注入攻击对数据库的危害 2. 检查输入的数据是否具有所期望的数据格式,严格限制变量的类型,例如使用regexp 包进行一些匹配处理,或者使用strconv包对字符串转化成其它基本类型的数据进行判 断 3. 对进入数据库的特殊字符('”\尖括号&a...
PHP简单预防sql注入的方法
10-21
SQL注入是一种常见的网络安全威胁,它发生在Web应用程序中,允许攻击者通过输入恶意的SQL代码来操纵或窃取数据库中的数据。PHP是Web开发中广泛使用的脚本语言,因此了解如何防止SQL注入对于保护PHP应用程序至关重要...
asp.net 预防SQL注入攻击之我见
10-29
说起防止SQL注入攻击,感觉很郁闷,这么多年了大家一直在讨论,也一直在争论,可是到了现在似乎还是没有定论。当不知道注入原理的时候会觉得很神奇,怎么就被注入了呢?会觉得很难预防。但是当知道了注入原理之后...
SQL注入攻击及其预防方法研究
07-05
SQL注入攻击是黑客常用的网络攻击手段之一。文章分析了SQL注入攻击的原理和攻击步骤,针对性地提出了从程序编写和服务器设置两方面有效预防SQL注入攻击的方法。
sql注入讲解ppt.pptx
08-10
SQL 注入基础知识点总结 SQL 注入是指 web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法...
SSM框架整合
09-05
Spring和Mybasit资源整合,新手学习,配置XML文件,资源依赖
mybatis详解(全)
Ferao的博客
03-21 15万+
mybatis详解
1、mybatis是什么?为什么要用mybatis
chaizepeng的博客
08-04 3万+
对于初学者,如果进行mybatis的学习呢?我总结了几点,会慢慢的更新出来。首先大家需要了解mybatis是什么、用mybatis来做什么、为什么要用mybatis、有什么优缺点;当知道了为什么的时候就开始了解如何用的问题,如何使用mybatis、有几种使用方式、各种方式的优缺点,在这个阶段也会学习mybatis涉及到的一些标签的用法;当知道了基础用法之后,就开始接触一些高级的用法,例如动态sql的使用、mybatis的缓存使用等;至此,在实战项目中使用mybatis进行开发已经没有问题了。 接下来就开始
MyBatis——》转义字符(大于,小于,大于等于,小于等于)
小仙~
11-09 8万+
MyBatis——》转义字符(大于,小于,大于等于,小于等于)
mybatis =<>的写法
weixin_41745575的博客
07-30 1024
mybatis=<>的写法 第一种写法(1): 原符号 < <= > >= & ' " 替换符号 &lt; &lt;= &gt; &gt;= &amp; &apos; &quot; 例如:sql如下: create_date_time &gt;= #{startTime} and create_date_time &lt;= #{endTime} 第二种写法(2): 大于等于 <!
Mybatis
Silly
12-03 641
目录 一、初识Mybatis (一)Mybatis的原理 (二)Mybatis的配置 二、基于SqlSession的单表增删改查 (一)无参数的 (二)有参数的 (三)SqlSession总结 三、基于Sql动态代理的单表增删改查 四、MybatisSql语句的动态拼接 五、Automapping自动注入和自定义注入 (一)Automapping自动注入 (二)自定义注入 ...
MyBatis 入门(一)--建立数据库连接及基本操作
火柴盒
05-03 1万+
mysql mybatis
MyBatis 快速入门和重点详解
热门推荐
mokingone的专栏
03-27 20万+
1.定义 MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。 官网 http...
深入浅出MyBatis-快速入门
追求极致的人
06-09 19万+
简介 MyBatis的前身叫iBatis,本是apache的一个开源项目, 2010年这个项目由apache software foundation 迁移到了google code,并且改名为MyBatisMyBatis是支持普通SQL查询,存储过程和高级映射的优秀持久层框架。MyBatis消除了几乎所有的JDBC代码和参数的手工设置以及结果集的检索。MyBatis使用简单的XML或注解用
如何预防SQL注入攻击?
最新发布
04-27
以下是预防SQL注入攻击的一些方法: 1. 使用参数化查询:使用参数化查询是预防SQL注入攻击的最好方法之一。参数化查询是指将SQL语句和参数分开,使用占位符来代替参数。这样可以避免攻击者利用输入的恶意字符来修改...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值