SQL注入的理解:
以JSP+SQL Server环境为例,对于一个正常的登录表单,输入正确的账号和密码之后,JSP程序会查询数据库:如果存在此用户并且密码正确,将会成功登录;如果用户不存在或者密码不正确,则会提示账号或密码错误。
然而当输入用户名: ‘or 1=1–,密码为空时,却发现可以正常登录,显然数据库中不存在这样一个用户。
注意:mySQL中是#,而oracle中是–。表示注释,在–后面的内容,将会oracle中视为注释内容。这样就不会被执行。
实际上,登录处最终调用代码如下:
public boolean findAdmin(Admin admin)
{
String sql = "select count(*) from admin where username='" + admin.getUsername() + "'and password='" + admin.getPassword() + "'" //SQL查询语句
try {
Resultset res = this.conn.creatStatement().executQuery(sql);
//执行sql语句
if(res.next())
{
int i = res.getInt(1);//获取第一列的值
if (i>0)
{return true;} //如果结果大于0,则返回true
}
} catch (Exception e) {
e.printStackTree();//打印异常信息
}
return false;
}
上面程序段的意义很清楚:在数据库中查询username=xxx and password=xxx的结果个数。如果结果个数大于0,表示存在这样的用户,返回true,代表登录成功,否则返回false,代表登录失败。
这段代码本身没有什么错误。正常情况下,当一个用户 username='test’且password='test’时,执行了sql语句
select count(*) from admin where username = ‘test’ and password = ‘test’
但是当输入username="'or 1=1–"时,在java程序中String类型变量sql 为
" select count(*) from admin where username = ’ 'or 1=1-- ’ and password = ’ ’ "
这句sql语句在执行时,"–" 将"and"及之后的语句都注释掉了,相当于执行了
select count(*) from admin where username = ’ 'or 1=1
而1=1是永远为true的,所以该语句的执行结果实际上是admin表的行数,而不是符合输入的username和password的行数,从而顺利通过验证。
这个例子中虽然注入的过程非常简单,但可能的危害却很大。如果在用户名处输入
“’ or 1=1; drop table admin --”
由于SQL Server支持多语句执行,就可以把admin表drop掉了,后果不堪设想
MyBatis 中 #{} 与 ${} 的区别
【1】#{} 解析之后会将 String类型的数据自动加上引号,其他数据类型不会;常用与where 条件,例如#{name}解析之后就可能为#{‘zzx’} 。而
解
析
之
后
是
什
么
就
是
什
么
,
他
不
会
当
做
字
符
串
处
理
,
一
般
用
于
传
入
数
据
库
对
象
,
常
用
与
传
入
表
名
和
o
r
d
e
r
b
y
条
件
,
例
如
:
{} 解析之后是什么就是什么,他不会当做字符串处理,一般用于传入数据库对象,常用与传入表名和 order by 条件,例如:
解析之后是什么就是什么,他不会当做字符串处理,一般用于传入数据库对象,常用与传入表名和orderby条件,例如:{column} 解析之后就是 order by id 。
【2】#{} 解析为一个 JDBC 预编译语句
(prepared statement)的参数标记符,一个 #{} 被解析为一个参数占位符《?》;而 ${} 仅仅为一个纯碎的 String 替换,在动态 SQL解析阶段将会进行变量替换。
【3】基于【2】,#{} 很大程度上可以防止 SQL注入(SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作);而 ${} 主要用于 SQL拼接的时候,有很大的 SQL注入隐患。
#{} 用于CRUD语句
${} 则用于模糊查询(记得加%%哦)