【面试】项目为什么能够避免SQL注入?

最新推荐文章于 2024-06-17 08:11:08 发布
最新推荐文章于 2024-06-17 08:11:08 发布
阅读量467 收藏 3
点赞数 2
分类专栏: 面试 文章标签: sql 面试 mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51452131/article/details/130227172
版权

面试moka时问到这个问题,项目如何预防sql注入的?(PS:问的都是啥啊?!!唉确实是我没学好,连基础都忘了QAQ)

项目能够避免SQL注入的主要是通过MyBatis实现的。

Mybatis中使用#占位符来预防SQL注入

${}#{}的区别

  • #{}匹配的是一个占位符,相当于JDBC中的一个?,会对一些敏感的字符进行过滤,编译过后会对传递的值加上双引号,因此可以防止SQL注入问题。

  • ${}匹配的是真实传递的值,传递过后,会与sql语句进行字符串拼接。${}会与其他sql进行字符串拼接,不能预防sql注入问题。

#{ } 底层使用的是PreparedStatement类的setString()方法来设置参数,此方法会获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则会在前面加上一个’/'代表转义此符号,让其变为一个普通的字符串,不参与SQL语句的生成,达到防止SQL注入的效果。

lusonnet
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java面试题解析之判断以及防止SQL注入
08-28
主要介绍了Java面试题解析之判断以及防止SQL注入,小编觉得还是挺不错的,具有一定借鉴价值,需要的朋友可以参考下
sql-为什么占位符可以防止sql注入
登峰小蚁
04-27 6764
为什么占位可以防止sql注入,不从什么预编译的角度来将,直接上源码,下面是mysql jar包中的setString方法。以select * from user where id = ?语句为例,传入1 or 1=1 ,如果是最后sql为select * from user where id = 1 or 1=1,那么显然会查出所有的数据,但实际没有,为什么?因为传入的参数经过下面的处理,会在前后...
【吊打面试官系列-Mysql面试题】SQL 注入漏洞产生的原因?如何防止
最新发布
java1234的博客
06-17 203
SQL 注入漏洞产生的原因?如何防止
mysql占位符 防注入_为什么占位符可以防止sql注入
weixin_33232550的博客
01-20 261
public void setString(int parameterIndex, String x) throwsSQLException {//if the passed string is null, then set this column to nullif (x == null) {setNull(parameterIndex, Types.CHAR);}else{StringBuff...
预编译以及为什么预编译可以防止sql注入
weixin_44717588的博客
03-15 4352
预编译 什么是预编译? 预编译就是做一些代码文本的替换工作,是整个编译过程最先做的事情. 比如有一个语句: 我可真是太##了! 预编译就是对#进行替换,我换成漂亮,则变成:我可真是太漂亮了! 其实就是在代码运行之前,对代码进行一些处理. 为什么预编译能够防止sql注入? 我们先来看一个例子,通俗的理解一下预编译的注入: 使用sql拼接:"select * from user where username = ’ " + name + " ’ "; 页面上可能会有个输入框:用户名:______________
#{}和${}的区别,以及为什么#{}可以防止sql注入
weixin_41399873的博客
03-11 1758
#{}和&{}最大的区别就是前者会进行预编译,后者不会。 预编译简单说就是:数据库偷懒的一种方式。 一、当我向mybatis输入一条带有#{}的语句时: select * from user where uid=#{id} and password=#{pwd}; 这是数据库就会进行预编译,并进行一个缓存动作,缓存一条这样的语句: select * from user where uid=...
MySQL 面试题-SQL注入篇.docx
09-17
SQL注入是一种严重的网络安全威胁,尤其针对使用MySQL等数据库系统的Web应用程序。攻击者通过在用户输入的数据中插入恶意SQL代码,可以操控数据库,获取敏感信息,甚至破坏整个系统。以下是关于SQL注入的详细解释和...
Java面试项目汇总.doc
06-11
这涉及到理解业务逻辑,识别关键实体和它们之间的关系,然后创建合适的ER模型并转化为具体的SQL表结构。对于数据库设计,应考虑数据的一致性、完整性、性能优化等方面。 2. **框架应用**: 使用Spring+Spring MVC+...
SQL常见面试
04-22
- 参数化查询可以有效避免SQL注入攻击。通过使用占位符(如`@LoginName`)代替直接的字符串拼接,可以确保用户输入被视为数据而非SQL代码。 - 示例代码: ```csharp string strSql = "SELECT * FROM [User] ...
sql 面试题.rar
07-09
了解视图和存储过程在安全性上的作用,以及如何防止SQL注入攻击。 9. **大数据与分布式数据库**:在高并发和海量数据背景下,了解分布式数据库的基本概念,如Sharding、Replication、Partitioning等策略。对NoSQL...
java (jvm + juc)+ spring + springcloud + sql + redis 面试大全
07-19
Java篇: Java是一种面向对象的编程语言,其核心特性包括封装、继承和多态。...这些知识点涵盖了Java开发的核心技术和常用的开源框架,对于中级和高级开发者来说,理解和掌握它们能够提升技术水平和面试竞争力。
软件测试面试题:SQL注入漏洞产生的原因?如何防止
一亿并发的博客
04-09 1211
SQL注入漏洞产生的原因?如何防止SQL注入产生的原因:程序开发过程中不注意规范书写sql语句和对特殊字符进行过滤,导致客户端可以通过全局变量POST和GET提交一些sql语句正常执行。 防止SQL注入的方式: 开启配置文件中的magic_quotes_gpc 和 magic_quotes_runtime设置 执行sql语句时使用addslashes进行sql语句转换 Sql语句书写尽量不要省略双引号和单引号。 过滤掉sql语句中的一些关键词:update、insert...
彻底干掉恶心的 SQL 注入漏洞, 一网打尽!
Java笔记虾
09-21 672
来源:b1ngz.github.io/java-sql-injection-note/0x01简介0x02 JDBC介绍说明0x03 Mybatis介绍说明更多场景0x04 JPA和休眠...
面试题6:什么是SQL注入?如何避免
m0_49273322的博客
05-20 533
SQL注入: 就是将原本的SQL语句的逻辑结构改变,使得SQL语句的执行结果和原本开发者的意图不一样 如何避免 SQL 注入: • 使用预处理 PreparedStatement。 • 使用正则表达式过滤掉字符中的特殊字符。 • 第三种 使用Hibernate框架的SQL注入防范 ...
JDBC防止SQL注入原理
tinaselling的博客
11-22 1484
一、基本解釋 1.JDBC(Java DataBase Connection):它是Java用来执行Sql的Java Api;可以为多种关系型数据库提供统一的访问接口,他是一组Java编写的类和接口。 2.statement:它 是 Java 执行数据库操作的一个重要接口,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。Statement对象,用于执行不带参数的简单SQL语句...
高薪程序员&面试题精讲系列93之SQL注入了解吗?如何防止SQL注入?Mybatis里#{}与${}有什么区别?
一一哥
04-27 443
一. 面试题及剖析 1. 今日面试SQL注入了解吗? 如何防止SQL注入? Mybatis里#{}与${}有什么区别? 2. 题目剖析 21世纪什么最重要?人才!还有呢?数据!人才的事,咱们今天不做讨论,咱们今天来讨论一下数据,尤其是关于数据的安全性。对一个企业来说,最关键的其实就是数据了,比如阿里的支付宝系统,如果他们数据库里的数据被人删了或改了,会发生什么严重的后果,简直不敢想象。我们作为后端人员,每天都要操作各种数据,所以自然就要肩负起保卫数据安全的责任。 在开发时,有很多的操作
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6519
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
SQL注入的原因及其解决方法
zhanchulan的博客
08-19 925
SQL 注入产生的原因:程序开发过程中不注意规范书写 sql 语句和对特殊字符进 行过滤,导致客户端可以通过全局变量 POST 和 GET 提交一些 sql 语句正常执行。 防止 SQL 注入的方式: 开启配置文件中的 magic_quotes_gpc 和 magic_quotes_runtime 设置 执行 sql 语句时使用 addslashes 进行 sql 语句转换 Sql 语句书写尽量不要省略双引号和单引号。 过滤掉 sql 语句中的一些关键词:update、insert、delete、selec
面试题-如何防止SQL注入(个人总结)
weixin_44903465的博客
04-17 1538
什么是SQL注入 通过操作输入来修改SQL语句来非法获取数据库中的数据 解决思路:对用户输入的内容进行合法校验 方案一:可以使用PreparedStatement 方案二:使用正则表达式 ...
关于sql注入面试
05-26
问题:什么是 SQL 注入?如何防止 SQL 注入攻击? 回答: SQL 注入是一种常见的网络攻击,攻击者利用应用程序对用户输入数据的处理不当,将恶意 SQL 代码注入到应用程序中,以达到攻击的目的。攻击者可以通过 SQL ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值