mysql防注入的sql语句写法_简单了解Mybatis如何实现SQL防注入

最新推荐文章于 2021-12-09 15:55:39 发布
最新推荐文章于 2021-12-09 15:55:39 发布
阅读量170 收藏
点赞数
文章标签: mysql防注入的sql语句写法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35400275/article/details/113309941
版权

这篇文章主要介绍了简单了解Mybatis如何实现SQL防注入,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下

Mybatis这个框架在日常开发中用的很多,比如面试中经常有一个问题:$和#的区别,它们的区别是使用#可以防止SQL注入,今天就来看一下它是如何实现SQL注入的。

什么是SQL注入

在讨论怎么实现之前,首先了解一下什么是SQL注入,我们有一个简单的查询操作:根据id查询一个用户信息。它的sql语句应该是这样:select * from user where id =。我们根据传入条件填入id进行查询。

如果正常操作,传入一个正常的id,比如说2,那么这条语句变成select * from user where id =2。这条语句是可以正常运行并且符合我们预期的。

但是如果传入的参数变成'' or 1=1,这时这条语句变成select * from user where id = '' or 1=1。让我们想一下这条语句的执行结果会是怎么?它会将我们用户表中所有的数据查询出来,显然这是一个大的错误。这就是SQL注入。

Mybatis如何防止SQL注入

在开头讲过,可以使用#来防止SQL注入,它的写法如下:

SELECT * FROM user where id = #{id}

在mybatis中查询还有一个写法是使用$,它的写法如下:

select * from user where id = ${id}

当我们在外部对这两个方法继续调用时,发现如果传入安全的参数时,两者结果并无不同,如果传入不安全的参数时,第一种使用#的方法查询不到结果(select * from user where id = '' or 1=1),但这个参数在第二种也就是$下会得到全部的结果。

并且如果我们将sql进行打印,会发现添加#时,向数据库执行的sql为:select * from user where id = ' \'\' or 1=1 ',它会在我们的参数外再加一层引号,在使用$时,它的执行sql是select * from user where id = '' or 1=1。

弃用$可以吗

我们使用#也能完成$的作用,并且使用$还有危险,那么我们以后不使用$不就行了吗。

并不是,它只是在我们这种场景下会有问题,但是在有一些动态查询的场景中还是有不可代替的作用的,比如,动态修改表名select * from ${table} where id = #{id}。我们就可以在返回信息一致的情况下进行动态的更改查询的表,这也是mybatis动态强大的地方。

如何实现SQL注入的,不用Mybatis怎么实现

其实Mybatis也是通过jdbc来进行数据库连接的,如果我们看一下jdbc的使用,就可以得到这个原因。

#使用了PreparedStatement来进行预处理,然后通过set的方式对占位符进行设置,而$则是通过Statement直接进行查询,当有参数时直接拼接进行查询。

所以说我们可以使用jdbc来实现SQL注入。

看一下这两个的代码:

public static void statement(Connection connection) {

System.out.println("statement-----");

String selectSql = "select * from user";

// 相当于mybatis中使用$,拿到参数后直接拼接

String unsafeSql = "select * from user where id = '' or 1=1;";

Statement statement = null;

try {

statement = connection.createStatement();

} catch (SQLException e) {

e.printStackTrace();

}

try {

ResultSet resultSet = statement.executeQuery(selectSql);

print(resultSet);

} catch (SQLException e) {

e.printStackTrace();

}

System.out.println("---****---");

try {

ResultSet resultSet = statement.executeQuery(unsafeSql);

print(resultSet);

} catch (SQLException e) {

e.printStackTrace();

}

}

public static void preparedStatement(Connection connection) {

System.out.println("preparedStatement-----");

String selectSql = "select * from user;";

//相当于mybatis中的#,先对要执行的sql进行预处理,设置占位符,然后设置参数

String safeSql = "select * from user where id =?;";

PreparedStatement preparedStatement = null;

try {

preparedStatement = connection.prepareStatement(selectSql);

ResultSet resultSet = preparedStatement.executeQuery();

print(resultSet);

} catch (SQLException e) {

e.printStackTrace();

}

System.out.println("---****---");

try {

preparedStatement = connection.prepareStatement(safeSql);

preparedStatement.setString(1," '' or 1 = 1 ");

ResultSet resultSet = preparedStatement.executeQuery();

print(resultSet);

} catch (SQLException e) {

e.printStackTrace();

}

}

public static void print(ResultSet resultSet) throws SQLException {

while (resultSet.next()) {

System.out.print(resultSet.getString(1) + ", ");

System.out.print(resultSet.getString("name") + ", ");

System.out.println(resultSet.getString(3));

}

}

总结

Mybatis中使用#可以防止SQL注入,$并不能防止SQL注入

Mybatis实现SQL注入的原理是调用了jdbc中的PreparedStatement来进行预处理。

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。

馍菌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
简单了解Mybatis如何实现SQL注入
08-25
主要介绍了简单了解Mybatis如何实现SQL注入,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
MyBatissql注入
qq_37634156的博客
04-07 8811
前言 关于sql注入的解释这里不再赘述。 在MyBatis止的sql注入主要分为两种: 第一种就是MyBatis提供了两种支持动态 sql 的语法 #{}和 ${},其中${} 是简单字符串替换,而 #{}在预处理时,会把参数部分用一个占位符 ? 代替,可以有效的sql注入,面试的时候经常会问到,这里也不再详细赘述; 第二种是排序sql注入实现方案如下 SQL注入过滤器 以下是sql注入过滤器,当判断出是非法字符时则抛出到自定义的异常类B...
mysql注入sql语句写法_mybatis是如何SQL注入
weixin_30070647的博客
01-21 366
mybatis是如何SQL注入的1、首先看一下下面两个sql语句的区别:select id, username, password, rolefrom userwhere username = #{username,jdbcType=VARCHAR}and password = #{password,jdbcType=VARCHAR}select id, username, password,...
怎样写Sql注入Sql语句
xuanwuziyou的专栏
01-12 5549
1.什么是SQL注入     所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令. 2.如何SQL注入 SQL注入的方法有两种:     a.把所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做
SQL注入的五种方法
我是一只蘑菇17的博客
12-09 2万+
一、SQL注入简介 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。    SQL注入是比...
sql注入的方法
qq_36031634的博客
09-06 3056
一、SQL注入简介     SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击   三
详解Mybatis框架SQL注入指南
08-18
主要介绍了详解Mybatis框架SQL注入指南,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SQL.rar_MyBatis3DynamicSql_dynamic mybatis_mybatis_mybatis Dyna
09-19
Mybatis dynamic SQL mybatis之动态SQL
SpringBoot集成Mybatis实现简单SQL注入(攻击)案例
12-14
(1)主演示就是一张t_user表,利用常见的用户登录来模拟sql注入对后台数据的侵入 (2)数据库脚本 — postgresql DROP TABLE IF EXISTS "public"."t_user"; CREATE TABLE "public"."t_user" ( "id" int8 NOT ...
Security_By_Default:MyBatis框架下SQL注入解决方案.pdf
08-11
背景与现状 初阶安全实践 最佳安全实践:Security By Default
mysql注入
02-07
mysql注入是个严重的安全问题,这个是简单的PHP配合mysql注入
mysql注入sql语句写法_PHP MySQL注入
weixin_39796149的博客
02-08 191
本文将从sql注入风险说起,并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别。当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。举例:$unsafe_variable = $_POST['user_input'];mysqli_query("INSERT INTO table...
5种方法止 jsp被sql注入
收集盒 Book box
09-22 6298
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句实现无帐号登录,甚至篡改数据库。 ===========================================
Mybatis如何SQL注入
weixin_43372187的博客
09-23 2678
什么是SQL注入攻击 SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些工作,来备这样的攻击方式。 例如攻击者会将passwd的参数输入为“ ’ or ‘1’ = '1 ”;那么直接使用Statement,则打印出来的SQL语句如下: select * from tb_name = '随意' and passwd = '' or '1' = '1
Mybatissql注入原理
任我行哟的博客
11-02 8737
SQL 注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL 语句被插入到执行的实体字段中(例如,为了转储数据库内容给攻击者)。[摘自] SQL注入 - 维基百科SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“或'1'='1'”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些,来备这...
MyBatis如何SQL注入
fmwind的专栏
03-01 1万+
SQL注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的实体字段中 SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些工作,来备这样的攻击方式。在一些安全性要求很高的应用中(比如银行软件),经常使用将SQL
mybatis是如何SQL注入
热门推荐
义臻的博客
08-11 3万+
SQL注入是一种很简单的攻击手段,但直到今天仍然十分常见。究其原因不外乎:No patch for stupid。为什么这么说,下面就以JAVA为例进行说明: 假设数据库中存在这样的表: table user( id varchar(20) PRIMARY KEY , name varchar(20) , age varchar(20) );   ...
MyBatissql注入的方式
最新发布
05-30
1. 使用参数化查询:和上面提到的一样,MyBatis 也支持参数化查询,可以在 SQL 语句中使用参数占位符,然后将参数值传入,从而SQL 注入攻击。例如: ``` select * from user where name = #{name} ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值