想来了解这个问题,先了解下什么是sql注入攻击。
所谓sql注入攻击,顾名思义,就是sql语句(恶意的) 注入到正常的执行过程中以达到某种目的方法。最常见的是在浏览器输入一些奇怪的sql语句(例如“or ‘1’=’1’”这样的语句),在一些安全性要求很高的应用中,经常使用将SQL语句全部替换为存储过程这样的方式,来防止SQL注入。这当然是一种很安全的方式,但我们平时开发中,可能不需要这种死板的方式。
那么mybatis是如何做到防止sql注入的呢?其实就是三个字,预编译。在框架底层,是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行同一个SQL时,能够提高效率。原因是SQL已编译好,再次执行时无需再编译。
Mybatis框架作为一款半自动化的持久层框架,其SQL语句都要我们自己手动编写,这个时候当然需要防止SQL注入。其实,MyBatis的SQL是一个具有“输入+输出”的功能,类似于函数的结构,参考上面的两个例子。其中,parameterType表示了输入的参数类型,resultType表示了输出的参数类型。回应上文,如果我们想防止SQL注入,理所当然地要在输入参数上下功夫。使用#的即输入参数在SQL中拼接的部分,传入参数后,打印出执行的SQL语句,会看到SQL是这样的:
select xx from xx_table where xx=?
不管输入什么参数,打印出的SQL都是这样的。这是因为MyBatis启用了预编译功能,在SQL执行前,会先将上面的SQL发送给数据库进行编译;执行时,直接使用编译好的SQL,替换占位符“?”就可以了。因为SQL注入只能对编译过程起作用,所以这样的方式就很好地避免了SQL注入的问题。
另外需要一提的是,mybatis中的#和$的区别:
# 的方式
$ 变量方式
#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:where username=#{username},如果传入的值是1,那么解析成sql时的值为where username="1", 如果传入的值是id,则解析成的sql为where username="id" 。而 $将传入的数据直接显示生成在sql中。如:where username=${username},如果传入的值是1,那么解析成sql时的值为where username=1; 如果传入的值是 ;drop table user; ,则解析成的sql为:select id, username, password, role from user where username=;drop table user; 这个就很危险了,存在被注入攻击可能。所以 # 方式能够很大程度防止sql注入,$方式无法防止Sql注入。故而 一般能用 # 的就别用 $,若不得不使用“${xx}”这样的参数(比如 传入数据库对象 ),要手工地做好过滤工作,来防止sql注入攻击。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
