MyBatis 如何预防SQL注入------使用#{}与${}的区别

最新推荐文章于 2023-06-29 11:52:41 发布
最新推荐文章于 2023-06-29 11:52:41 发布
阅读量257 收藏
点赞数
分类专栏: MyBatis Java 文章标签: MyBatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vMars_K/article/details/100180720
版权

什么是SQL注入

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。(百度百科)

例如攻击者在密码栏上输入  ' or 1 = 1 # ,如果后台是通过SQL直接拼接用户输入来做查询的话,攻击者就可以成功侵入了。如:

 SELECT * FROM user WHERE uername=' ' or 1 = 1 # ' AND password = ''

由于 1 = 1 是恒等式,所以该 SQL 就相当于:

 SELECT * FROM user

所以后端需要对类似的攻击做好防备,不能简单的使用字符串拼接来做SQL查询。

 

#{}与${}的区别

 

对于#{}:

<select id="getUserById" resultType="User" parameterType="java.lang.Integer">
         SELECT uid, username
         FROM user
         WHERE uid = #{uid}
</select>

MyBatis 的 #{} 底层其实是靠 JDBC 的 PreparedStatement 类实现 SQL 的预编译:

SELECT uid, username FROM user WHERE uid = ?

然后通过 parameterType 确定传入的参数类型,将预编译好的 SQL 中的占位符 "替换成传入的参数。

因为 SQL 注入只对编译过程起作用,所以这样就可以很好地避免 SQL注入的问题了。而且在多次执行同一个SQL时,能够提高效率。原因是SQL已编译好,再次执行时无需再编译。

 

对于${}:

<select id="getUserById" resultType="User" parameterType="java.lang.Integer">
         SELECT uid, username
         FROM user
         WHERE uid = ${uid}
</select>

在MyBatis中,${} 这样格式的参数会直接参与SQL编译,从而不能避免注入攻击,就好像前面 SQL 注入所提到的例子一样。

涉及到动态表名和列名时,只能使用 ${} 这样的参数格式。

因为使用 #{} 的话就好比使用 parameterType 的 setString() 方法插入字符串,但这样做是会让参数带上单引号的。如

 

总结

在编写MyBatis的SQL时,尽量采用#{}。除非有需要才使用${},但要注意做好过滤工作,防止SQL注入攻击。

#{}:相当于JDBC中的PreparedStatement,会帮我们预编译再替换其中的 ?

${}:是直接输出变量的值,然后拼接成 SQL 执行

 

vMars_K
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MyBatis中#{}和${}的区别,什么是sql注入?如何防止?
zf_java的博客
03-27 1786
首先咱们先看#{}收参的代码及执行结果: <select id="selectUserByName" resultType="com.zf.entity.User"> select * from t_users where name=#{name} </select> @Test public void selectUserByName() throws IOException { UserDao userDao = Mybati
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
mybatisSQL注入如何防止、#和$ 区别
dl674756321的博客
07-16 512
SQL注入 SQL注入是一种攻击手段,它指的是使用构造恶意的SQL语句,欺骗服务器执行SQL命令,让后台的数据库去解析,从而达到入侵目标网络,获取敏感信息的攻击手段。 如何防止sql注入 #{}是经过预编译的,是安全的,${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入MyBatis的SQL预编译是JDBC中的PreparedStatement类在起作用,PreparedStatement是Statement的子类,它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全
mybatis #和$区别、如何防止SQL注入
猴子哥哥的博客
09-20 1998
mybatis中的#和$的区别 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值
nginx mysql 防注入_mybatis中 为什么#{}能防止SQL注入 而 ${}不行
weixin_35288487的博客
02-19 129
mybatis中,${param}这样格式的参数会直接参与sql编译,从而不能避免注入攻击。但涉及到动态表名和列名时,只能使用${param}这样的参数格式,所以,这样的参数需要程序开发者在代码中手工进行处理来防止注入。#{param} 代表param是属性值,map里面的key或者是你的pojo对象里面的属性, mybatis会自动在它的外面加上引号,表现在sql语句是这样的 where co...
mybatis-plus 在 idea 中的使用
最新发布
05-21
在 IDEA 中,你可以创建 JUnit 测试类,使用 `@Autowired` 注解注入 Service 实例,然后调用相应的方法进行单元测试,验证 MyBatis-Plus 是否正确工作。 总的来说,MyBatis-Plus 在 IDEA 中的使用涉及到项目配置、...
mybatis-demo12-动态SQL语句2-基于注解配置.zip
08-05
10. **最佳实践**: 使用动态SQL可以提高代码的灵活性,但同时也需要注意SQL注入的风险。在编写动态SQL时,应确保所有用户输入都经过适当的验证和转义。 综上所述,"mybatis-demo12-动态SQL语句2-基于注解配置"这个...
mybatis-plus-demo
07-10
例如,我们可以使用 `LambdaQueryWrapper` 或 `QueryWrapper` 来构建复杂的查询条件,无需手动拼接 SQL,避免了 SQL 注入的风险。 此外,MyBatis-Plus 还支持主键自动生成策略,包括 ID_WORKER(雪花算法)、UUID ...
mybatis-spring-1.3.1.jar下载
05-24
这个版本的jar文件是开发者在使用MyBatis与Spring进行项目开发时必不可少的组件。下面将详细介绍MyBatis-Spring的主要功能、工作原理以及如何与MyBatis-3.4.4等版本配合使用MyBatis-Spring的主要功能: 1. **...
springmvc-mybatis. rar后端- Java
06-18
5. **灵活性**:与任何ORM框架相比,MyBatis更接近原生的SQL,能够更好地满足复杂需求。 在"sql"目录中,可能包含用于初始化数据库的SQL脚本,这通常包括创建表结构、插入初始数据等。开发者通常会使用这些脚本来...
SpringBoot集成Mybatis实现简单的SQL注入(攻击)案例
12-14
一、项目演示 (1)主演示就是一张t_user表,利用常见的用户登录来模拟sql注入对后台数据的侵入 (2)数据库脚本 — postgresql DROP TABLE IF EXISTS "public"."t_user"; CREATE TABLE "public"."t_user" ( "id" int8 NOT NULL, "name" varchar(255) COLLATE "pg_catalog"."default", "password" varchar(255) COLLATE "pg_catalog"."default" ) ; DROP TABLE IF E
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 3万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
如何防止SQL注入
m0_49521873的博客
05-23 2319
例如,Web应用程序通常只需要对数据库进行查询和插入操作,应该限制Web应用程序对数据库的访问权限,不允许Web应用程序执行删除、修改等操作。1. 输入合法性验证:在应用程序中对用户输入的内容进行检查和验证,仅允许输入合法的数据,如数字、字母等。SQL注入攻击是一种常见的网络攻击方式,攻击者通过构造恶意SQL语句,将恶意代码注入到应用程序的数据库中,从而对数据库进行非法操作,如删除、修改、泄露数据等。2. 参数化查询:使用参数化查询,将SQL语句与查询参数分离,避免在SQL语句中直接拼接用户输入的数据。
mybatis相关记录:参数获取${}、#{},#{}是如何防止注入的?批处理插入和更新
weixin_43019537的博客
06-22 909
顺便贴下JDBC:JDBC编程之预编译SQL与防注入、JDBC连接如何防止SQL注入?参考:映射体系之ResultMap原理
mybatis中#{}与${}的差别(如何防止sql注入
E=mc²
04-24 1万+
默认情况下,使用#{}语法,MyBatis会产生PreparedStatement语句中,并且安全的设置PreparedStatement参数,这个过程中MyBatis会进行必要的安全检查和转义。 #相当于对数据 加上 双引号,$相当于直接显示数据 示例1: 执行SQL:select * from emp where name = #{employeeName} 参数:employeeNa
mybatis如何防止SQL注入
蜻蜓队长
09-11 1230
*** sql注入发生的时间,sql注入发生的阶段在sql预编译阶段,当编译完成的sql不会产生sql注入 一、采用jdbc操作数据时候 String sql = "update ft_proposal set id = "+id; PreparedStatement prepareStatement = conn.prepareStatement(sql); prepareStatement.executeUpdate(); preparedStatement 预编译对象
防止SQL注入的五种方法
我是一只蘑菇17的博客
12-09 2万+
一、SQL注入简介 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。    SQL注入是比...
mybatis是如何防止SQL注入
义臻的博客
08-11 3万+
SQL注入是一种很简单的攻击手段,但直到今天仍然十分常见。究其原因不外乎:No patch for stupid。为什么这么说,下面就以JAVA为例进行说明: 假设数据库中存在这样的表: table user( id varchar(20) PRIMARY KEY , name varchar(20) , age varchar(20) );   ...
彻底搞懂MyBaits中#{}和${}的区别
緑水長流*z
07-11 2万+
MyBatis的`#{}`之所以能够预防SQL注入是因为底层使用了`PreparedStatement`类的`setString()`方法来设置参数,此方法会获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则会在前面加上一个`'/'`代表转义此符号,让其变为一个普通的字符串,不参与SQL语句的生成,达到防止SQL注入的效果。 **其次`${}`本身设计的初衷就是为了参与SQL语句的语法生成**,自然而然会导致SQL注入的问题(不会考虑字符过滤问题)。
mybatis-plus 使用${}怎么解决sql注入
10-09
当我们使用 MyBatis-Plus 进行数据库操作时,为了避免 SQL 注入,可以采取以下措施: 1. 使用 ${} 时,应该将动态参数绑定到预处理语句中,以避免直接将输入参数嵌入 SQL 语句中。 2. 在将参数传递给 MyBatis-Plus...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值