JAVA mybatis 实例以及防SQL注入方法

最新推荐文章于 2024-05-09 21:18:23 发布
最新推荐文章于 2024-05-09 21:18:23 发布
阅读量430 收藏 11
点赞数 5
分类专栏: java 文章标签: java mybatis sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/webxscan/article/details/135093610
版权

src/main/resources/mybatis-config.xml

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE configuration PUBLIC "-//mybatis.org//DTD Config 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-config.dtd">
<configuration>
    <!--使用dev环境-->
    <environments default="dev">
        <!--dev环境-->
        <environment id="dev">
            <transactionManager type="JDBC"></transactionManager>
            <!--使用连接池中的数据源
            url=jdbc:mysql://localhost:3306/mybatis?useUnicode=true&characterEncoding=UTF-8&useSSL=false&serverTimezone=Asia/Shanghai
username=root
password=2
            -->
            <dataSource type="POOLED">
<!--                <property name="driver" value="com.mysql.jdbc.Driver"/>-->
                <property name="driver" value="com.mysql.cj.jdbc.Driver"/>
                <property name="url" value="jdbc:mysql://localhost:3306/mybatis?useSSL=false&amp;serverTimezone=Asia/Shanghai"/>
                <property name="username" value="root"/>
                <property name="password" value="2"/>
            </dataSource>
        </environment>

    </environments>
    <!-- 扫描映射文件 -->
    <mappers>
        <mapper resource="com/by/dao/UserDao.xml"/>
    </mappers>

</configuration>

src/main/java/com/by/dao/UserDao.xml

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<!--namespace:唯一,接口全类名-->
<mapper namespace="com.by.dao.UserDao">
    <!--
        id:和接口方法名保持一致
        resultType:和接口返回类型保持一致
    -->
    <select id="findAll" resultType="com.by.pojo.User">
        select * from user
    </select>

    <select id="UserGetByid" parameterType="java.lang.Integer" resultType="com.by.pojo.User">
        select * from user where id=#{id}
    </select>

    <select id="UserGet" resultType="com.by.pojo.User">
        <!--select * from user where id=#{arg0} and username=#{arg1}--><!-- arg0 arg1-->
        select * from user where id=#{param1} and username=#{param2}
    </select>

    <select id="getUser3" resultType="com.by.pojo.User">
        select * from user where id=#{id} and username=#{username}
    </select>

    <select id="getUser4" parameterType="com.by.pojo.User" resultType="com.by.pojo.User">
        select * from user where id=#{id} and username=#{username}
    </select>

    <select id="getUser5" parameterType="java.util.Map" resultType="com.by.pojo.User">
        select * from user where id=#{id} and username=#{username}
    </select>

    <select id="getUserByUserName" parameterType="java.lang.String" resultType="com.by.pojo.User">
        <!-- select * from user where username like '%${value}%' -->
        select * from user where username like concat('%',#{value},'%')
    </select>

    <select id="login" parameterType="com.by.pojo.User" resultType="com.by.pojo.User">
        <!-- select * from user where username='${username}' and password='${password}' -->

        select * from user where
        <if test="username != null and username != ''">
            username= '${username}'
        </if>
        <if test="password != null and password != ''">
            and password='${Password}'
        </if>


    </select>

    <delete id="deleteUserByUserId" parameterType="java.lang.Integer">
        delete from user where id = #{id}
    </delete>

    <update id="updateUserById" parameterType="com.by.pojo.User">
        UPDATE user
        SET username=#{username}, password=#{password}, birthday=#{birthday}, sex=#{sex}, address=#{address}
        WHERE id=#{id}
    </update>

    <insert id="addUser" useGeneratedKeys="true" keyProperty="id" parameterType="com.by.pojo.User">
        <!--
            逐渐回填(返回自增id):插入记录后返回自增的id到参数
            keyProperty="id":回填到实体类的哪个属性
            order="AFTER":先执行插入,再主键回填
            resultType="java.lang.Integer":主键的类型

        <selectKey keyProperty="id" order="AFTER" resultType="java.lang.Integer">
            SELECT LAST_INSERT_ID()
        </selectKey>
        -->
        INSERT INTO user(username,password,birthday,sex,address) VALUES(#{username},#{password},#{birthday},#{sex},#{address})
    </insert>








</mapper>

src/main/java/com/by/dao/UserDao.java

package com.by.dao;

import com.by.pojo.User;
import org.apache.ibatis.annotations.Param;

import java.util.List;
import java.util.Map;

public interface UserDao {
    List<User> findAll();

    User UserGetByid(Integer id);

    User UserGet(Integer id, String username);

    User getUser3(@Param("id") Integer id, @Param("username") String username);

    User getUser4(User user);

    User getUser5(Map<String, Object> map);

    List<User> getUserByUserName(String name);

    User login(User userInfo);

    void deleteUserByUserId(Integer id);

    void updateUserById(User user);

    void addUser(User user);



}

src/test/java/com.by.text/MyBatisTest.java

package com.by.test;

import com.by.dao.UserDao;
import com.by.pojo.User;
import org.apache.ibatis.io.Resources;
import org.apache.ibatis.session.SqlSession;
import org.apache.ibatis.session.SqlSessionFactory;
import org.apache.ibatis.session.SqlSessionFactoryBuilder;
import org.junit.After;
import org.junit.Before;
import org.junit.Test;

import java.io.IOException;
import java.io.InputStream;
import java.util.Date;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

public class MyBatisTest {
    private SqlSession sqlSession;
    private InputStream inputStream;

    @Before
    public void init(){
        try {
            //加载配置文件
            String resource = "mybatis-config.xml";
            inputStream = Resources.getResourceAsStream(resource);
            //创建sqlSessionFactory
            SqlSessionFactory sessionFactory = new SqlSessionFactoryBuilder().build(inputStream);
            //获得数据的会话实例
            sqlSession = sessionFactory.openSession();
        }catch (Exception e){System.out.println(e.toString());}
    }

    @After
    public void close(){
        try {
            sqlSession.close();
            inputStream.close();
        }catch (Exception e){System.out.println(e.toString());}
    }

    @Test
    public void testFindAll() throws IOException {
        //返回接口的代理类
        UserDao userDao = sqlSession.getMapper(UserDao.class);
        List<User> userList = userDao.findAll();
        for (User user : userList) {
            System.out.println(user);
        }
        System.out.println(userDao);
    }

    @Test
    public void testuser1() throws IOException {
        //返回接口的代理类
        UserDao userDao = sqlSession.getMapper(UserDao.class);
        User userList = userDao.UserGetByid(41);
        System.out.println(userList);
    }

    @Test
    public void testuser2() throws IOException {
        //返回接口的代理类
        UserDao userDao = sqlSession.getMapper(UserDao.class);
        User userList = userDao.UserGet(41,"张三丰");
        System.out.println(userList);
    }

    @Test
    public void testuser3() throws IOException {
        //返回接口的代理类
        UserDao userDao = sqlSession.getMapper(UserDao.class);
        User userList = userDao.getUser3(41,"张三丰");
        System.out.println(userList);
    }

    @Test
    public void testuser4() throws IOException {
        //返回接口的代理类
        UserDao userDao = sqlSession.getMapper(UserDao.class);
        User userParam=new User();
        userParam.setId(41);
        userParam.setUsername("张三丰");

        User userList = userDao.getUser4(userParam);
        System.out.println(userList);
    }

    @Test
    public void testuser5() throws IOException {
        //返回接口的代理类
        UserDao userDao = sqlSession.getMapper(UserDao.class);
        Map<String,Object> mapx=new HashMap<>();
        mapx.put("id",43);
        mapx.put("username", "张三丰");

        User userList = userDao.getUser5(mapx);
        System.out.println(userList);
    }

    @Test
    public void testGetUserByUserName() throws IOException {
        UserDao userMapper = sqlSession.getMapper(UserDao.class);
        List<User> userList = userMapper.getUserByUserName("张");
        for (User user : userList) {
            System.out.println(user);
        }
    }

    @Test
    public void testLogin() throws IOException {
        UserDao userMapper = sqlSession.getMapper(UserDao.class);
        User userInfo = new User();
        userInfo.setUsername("张三丰' #");
        userInfo.setPassword("2222");
        User user = userMapper.login(userInfo);
        System.out.println(user);
    }


    @Test
    public void testDeleteUserById() throws IOException {
        UserDao userMapper = sqlSession.getMapper(UserDao.class);
        userMapper.deleteUserByUserId(43);
        sqlSession.commit();
    }

    @Test
    public void testUpdateUserById(){
        UserDao userMapper = sqlSession.getMapper(UserDao.class);
        User user = new User();
        user.setUsername("郭襄");
        user.setPassword("111");
        user.setBirthday(new Date());
        user.setSex("女");
        user.setAddress("峨眉山");
        user.setId(42);
        userMapper.updateUserById(user);

        sqlSession.commit();
    }

    @Test
    public void testAddUser(){
        UserDao userMapper = sqlSession.getMapper(UserDao.class);

        User user = new User();
        user.setUsername("周芷若");
        user.setPassword("111");
        user.setBirthday(new Date());
        user.setSex("女");
        user.setAddress("峨眉山");

        userMapper.addUser(user);
        System.out.println("返回自增id:"+user.getId());
        sqlSession.commit();
    }


}

QQ7650371
关注
  • 5
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis防止SQL注入方法实例详解
08-27
SQL注入是一种很简单的攻击手段,但直到今天仍然十分常见。那么mybatis是如何防止SQL注入的呢?下面脚本之家小编给大家带来了实例代码,需要的朋友参考下吧
有效防止sql注入方法演示
09-08
本文将详细探讨如何有效防止SQL注入,以及展示一个具体的SQL注入攻击实例,并给出相应的护措施。 一、SQL注入攻击背景 在B/S(Browser/Server)架构的应用程序SQL注入是常见的安全漏洞。当开发者没有正确地...
每日学习Redis——拿捏Redis的通用指令(键和数据库通用指令)_m_redis-&gt;del(keyresult); m_redis-&gt;del(keytask)
2401_84170623的博客
04-29 467
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化资料的朋友,可以戳这里获取一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!pics/618545628)**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、
2024年大数据最新mybatis如何防止SQL注入_mybatisplus 分页 注入(2),大数据开发高频面试题+解析
最新发布
2401_84166376的博客
05-09 355
不管输入何种参数时,都可以防止sql注入,因为mybatis底层实现了预编译,底层通过prepareStatement预编译实现类对当前传入的sql进行了预编译,这样就可以防止sql注入了。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
SSM框架(Spring,SpringMvc,Mybatis
weixin_48320674的博客
03-28 1482
SSM
Java项目如何防止SQL注入的四种方案
IT小辉同学
10-09 1066
那一片叶,纷飞在长安的旧街,她站在南墙,我隔着北巷。。。。。。
深度剖析Mybatis-plus Injector SQL注入
Java是世界上最好的语言
05-18 2478
深度剖析Mybatis-plus Injector SQL注入
Mybatis从0到1 SQL注入 参数占位符 XML配置 动态SQL
我亦无他,唯手熟尔
07-10 1263
预编译SQL有两个优势:性能更高更安全(防止SQL注入)性能更高:预编译SQL,编译一次之后会将编译后的SQL语句缓存起来,后面再次执行这条语句时,不会再次编译。(只是输入的参数不同)将敏感字进行转义,保障SQL的安全性。在页面原型,列表上方的条件是动态的,是可以不传递的,也可以只传递其的1个或者2个或者全部。而在我们刚才编写的SQL语句,我们会看到,我们将三个条件直接写死了。如果页面只传递了参数姓名name 字段,其他两个字段 性别 和 入职时间没有传递,那么这两个参数的值就是null。
SQL注入漏洞过程实例及解决方案
09-08
为了解决这个问题,我们可以采用预编译的`PreparedStatement`对象,它能有效防止SQL注入。`PreparedStatement`会将用户输入的数据与SQL语句分离,确保即使输入包含特殊字符,也不会被解析为SQL命令的一部分。在`...
Java MyBatis 实践学习案例.zip
01-30
在IT行业MyBatis是一个广泛使用的持久层框架,它为Java开发者提供了强大的SQL映射功能,使得数据库操作更加便捷高效。本实践学习案例将深入探讨MyBatis的基本概念、核心特性以及如何与Java应用程序集成。 ...
Javamybatis面试题.docx
06-16
MyBatis 是一款著名的 Java 持久层框架,它专注于 SQL 查询的处理,使得开发者能够更加关注 SQL 语句的编写,同时提供了一种灵活的映射机制,将 SQL 查询的结果自动映射到 Java 对象。MyBatis 由以下几个核心组件...
SQL注入Mybatis框架下的sql注入白盒审计
m0_61572518的博客
03-20 5165
一、Mybatis框架下sql语句的两种写法 1.select * from [tablename] where [column]=#{value} #{value},即使用JDBC预编译模式,可以有效防止sql注入漏洞的产生。 2.select * from [tablename] where [column]=${value} ${value},该方式为sql语句的动态拼接,若该参数外部可控且未做校验,则存在sql注入的风险。 二、Mybatis框架下两种提供SQL语句的方式 1.在*map
Mybatis mapper.xml里面${} 和 #{}区别与用法
qq_43589143的博客
07-18 3427
MybatisMapper.xml语句parameterType向SQL语句传参有两种方式:#{}和${} #{}方式能够很大程度防止sql注入。 $方式无法防止Sql注入。 $方式一般用于传入数据库对象,例如传入表名. 一般能用#的就别用$. #{}表示一个占位符即?,可以有效防止sql注入。在使用时不需要关心参数值的类型,mybatis会自动进行java类型和jdbc类型的转换。 #{}可以接收简单类型值或pojo属性值,如果传入简单类型值,#{}括号可以是任意名称。 ${}可以将param
SQL 注入漏洞原理以及修复方法
it知识分享 free for nothing..
01-23 8526
SQL 注入漏洞原理以及修复方法
Mybatis sql注入问题
Natsumis的博客
03-10 689
1.mybatismapper文件引用参数时有两种方式: ${}和#{} 2.推荐使用#{},因为${}可能引起sql注入问题。 3.例如: ① select * from user where id = #{id} 此时sql预编译是select * from user where id = ?, 引用会被占位符取代,较为安全。 ② select * from ${tableName} where name = #{name}   在这个例子,如果表名为 user; delete user; –
怎么防止SQL注入
。。。。
03-21 7030
防止SQL注入攻击的方法是使用参数化查询,也就是使用预编译语句(Prepared Statement)或者存储过程(Stored Procedure)来处理 SQL 查询语句。 使用预编译语句的好处是,它会将 SQL 查询语句和参数分开,从而避免了恶意用户通过参数注入恶意 SQL 代码的风险。同时,预编译语句可以有效地缓存 SQL 查询语句,提高查询性能。
MybatisSQL注入
浩瀚银河
10-16 2420
1.简述 1.1.什么是SQL注入 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 2.SQL注入案例(Jdbc) 2.1.建表语句 create table user_mybatis( id int Primary key, ...
Mybatis XML Mapper SQL注入漏洞发现与一键修复-----项目静态代码安全审计idea插件工具MOMO CODE SEC INSPECTOR-Java
Northofnanshan的博客
03-03 492
Mybatis XML Mapper SQL注入漏洞发现与一键修复
利用mybatis框架时,常见的三种sql注入方式
geejkse_seff的博客
08-31 2526
Sql注入是web应用最常见的一种漏洞,其实质就是攻击者可以通过拼接sql来对数据库进行攻击。在java项目,随着预编译和ORM框架(如Mybatis)的使用,这样的问题也会随之减少,但是,在mybatis使用不当的情况下,也会造成sql注入。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值