防止sql注入

最新推荐文章于 2024-06-15 09:16:59 发布
最新推荐文章于 2024-06-15 09:16:59 发布
阅读量166 收藏
点赞数
分类专栏: java 文章标签: sql java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43076660/article/details/122489865
版权

PrepareStatement可以防止sql注入

预编译
select*from tablename where username=? and password=?

mybatis是如何防止SQL注入的

【底层实现原理】MyBatis是如何做到SQL预编译的呢?其实在框架底层,
是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很
熟悉的Statement的子类,它的对象包含了编译好的SQL语句。这种“准备
好”的方式不仅能提高安全性,而且在多次执行同一个SQL时,能够提高效
率。原因是SQL已编译好,再次执行时无需再编译


<select id="selectByNameAndPassword" 
parameterType="java.util.Map" resultMap="BaseResultMap">
select id, username, password, role
from user
where username = #{username,jdbcType=VARCHAR}
and password = ${password,jdbcType=VARCHAR}
</select>

#和$的区别:
 1、#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引
 号。
如:where username=#{username},如果传入的值是111,那么解析成sql
时的值为where username="111", 如果传入的值是id,则解析成的sql为
where username="id". 
  2、$将传入的数据直接显示生成在sql中.
如:where username=${username},如果传入的值是111,那么解析成sql
时的值为where username=111;
如果传入的值是;drop table user;,则解析成的sql为:select id, 
username, password, role from user where username=;drop table 
user;
  3、#方式能够很大程度防止sql注入,$方式无法防止Sql注入。
  4、$方式一般用于传入数据库对象,例如传入表名.
  5、一般能用#的就别用$,若不得不使用“${xxx}”这样的参数,要手
  工地做好过滤工作,来防止sql注入攻击。
  6、在MyBatis中,“${xxx}”这样格式的参数会直接参与SQL编译,从
  而不能避免注入攻击。但涉及到动态表名和列名时,只能使用
  “${xxx}”这样的参数格式。所以,这样的参数需要我们在代码中手工进行
  处理来防止注入。
【结论】在编写MyBatis的映射语句时,尽量采用“#{xxx}”这样的格式。
若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止SQL
注入攻击。
@淡 定
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SQL注入的php代码
08-24
SQL注入的php,通用防注入类
SQL注入 代码 主要是拦截
09-30
里面提供了主要的防sql注入的代码 及如何拦截
通用的防止SQL注入代码
思索的蜗牛的专栏
04-19 626
新建sqllin.asp网页文件,编写以下代码检查POST和GET方式提交的所有数据,如果发现有过滤字符,则显示弹出对话框,并中断程序的运行Dim   SQL_Post,SQL_Get,strFilter,aFilter,istrFilter=" |;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|trunc
MyBatis 的 @SelectProvider 注解构建动态 SQL
最新发布
dazhong2012的专栏
06-15 940
是 MyBatis 提供的一个注解,它允许开发者通过编写 Java 方法来动态构建 SQL 语句。这种方法为开发者提供了更大的灵活性,可以根据业务需求或参数条件来构建复杂的 SQL 语句。首先,开发者需要定义一个 Java 类作为 SQL 提供者,该类中包含一个或多个返回 SQL 语句字符串的方法。// 根据参数动态构建 SQL注意:在上面的示例中,我们使用了 #{name} 和 #{age} 作为参数占位符。MyBatis 自动将这些占位符替换为实际参数的值。
对于防止SQL注入的研究(JAVA代码实现)
黄瓜的技术研究室
12-05 9154
 有两种方法,一种是对登陆的获得的变量进行特殊字符判断一种是在登陆的时候使用PreparedStatement进行查询,可以有效的方式SQL注入 第一种方法SqlString.javapackage com.test.util;public class SqlString {  public static boolean sql_inj(String s
javasql注入代码
05-11
很强大的防SQL注入,针对JAVA系统 方便使用,作为过滤器使用。
JAVA防止SQL注入攻击类的源代码
04-26
JAVA防止SQL注入攻击类的源代码(包含网页版和程序代码两部分)
SQL注入以及防注入代码
05-15
SQL注入以及防注入代码
最新ASP通用防SQL注入代码
10-13
这是经过整理和测试的,最新ASP通用防SQL注入代码。 很简洁也很好用.和大家分享.
QueryWrapper可避免大多数的SQL注入风险
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
12-19 1937
QueryWrapper是 MyBatis-Plus 中的一个功能,它提供了一种链式查询条件的方式,使得构建查询条件更加直观和简洁。虽然QueryWrapper提供了一个更加现代化和方便的方式来构建查询,但它并不完全替代传统的 SQL 拼接。
Statement和PrepareStatement方法针对SQL注入式攻击的实例
光老弟的博客
08-19 606
对于JDBC而言,SQL注入攻击只对Statement有效,对PreparedStatement是无效的。
mybatis 3如何防止SQL注入
wankwan的专栏
10-06 2347
现在互联网时代,安全一直是一个长久不衰话题,我们经常用到各种各样的架构,模式,但我们最基础的还是要和数据库打交道,数据才是王道,所以,经常有很多盗取数据之人,故对数据的安全尤为重要。 在平常中,最常用的攻击是SQL注入攻击,以下方式攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or ‘1’=’1’”这样的语句来实现盗取数据的目的,尤其是对校验方面经验较浅或疏于注意,不过幸好M
[实践总结] Java 防止SQL注入的四种方案
张紫娃的博客
08-28 1162
当 id 传值为 1001 or 1 = 1此时,数据库的数据都被清空掉,后果非常严重。
防止SQL注入的四种方案
dehuisun的专栏
09-05 9737
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都被清空掉,后果非常严重.
【大数据系列之JDBC】(四):Statement存在SQL注入问题
CSDN 精品推荐
12-22 299
但是使用Statement存在SQL注入问题SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令(如:SELECT user, password FROM user_table WHERE user=‘a’ OR 1 = ’ AND password = ’ OR ‘1’ = ‘1’) ,从而利用系统的 SQL 引擎完成恶意行为的做法。正常来将要用户名和密码全部匹配成功才可查询到,但是经过SQL注入后,上面的SQL后面多一个。
jdbc中Statement接口的sql注入
programmer_trip的博客
05-25 258
jdbc中Statement接口的sql注入 代码实践 下面用最原始的jdbc连接代码演示一下 -- 环境 -- musql 8.0.12 -- jdbc jar包 mysql-connector-java-8.0.19.jar --第一步 使用navicate创建数据库和表 -- 创建数据库 create database my_first; -- 创建表 create table temp_user( u_id int primary key auto_increment, u_name var
mysql的Statement的sql注入问题
m0_56525972的博客
12-21 1088
SQL注入问题: 通过SQL语言语法规则改变了程序设计的初衷,从而导入一些有问题的现象。 import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.Statement; import java.util.Scanner; public class StatementDemo02 { public static void main(String...
Statement的sql注入问题
cnbird's blog
03-15 2143
SQL注入,PreparedStatement和Statement * 在SQL中包含特殊字符或SQL的关键字(如:' or 1 or ')时Statement将出现不可预料的结果(出现异常或查询的结果不正确),可用PreparedStatement来解决。 * PreperedStatement(从Statement扩展而来)相对Statement的优点:       1.没有SQL注入
Java JDBC 使用Statement 产生sql注入问题
BLWY_1124的博客
05-18 768
#Java JDBC 使用Statement 产生sql注入问题 Statement 对象用于执行静态SQL语句并返回其生成的结果对象 Statement 对象执行SQL语句,存在SQL注入风险 代码演示: 先创建一张表 -- 演示 sql 注入 -- 创建一张表 CREATE TABLE admin ( -- 管理员表 NAME VARCHAR(32) NOT NULL UNIQUE, pwd VARCHAR(32) NOT NULL DEFAULT '') CHARACTER S
Java中Statement的SQL注入问题
m0_63217468的博客
08-26 916
Java中Statement的SQL注入问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@淡 定

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值