mybatis中${}既然可能会出现sql注入的情况,为什么还要用

最新推荐文章于 2024-06-24 14:58:13 发布
最新推荐文章于 2024-06-24 14:58:13 发布
阅读量2.7k 收藏 14
点赞数 4
文章标签: mybatis sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43478591/article/details/120795525
版权

mybatis中${}既然可能会出现sql注入的情况,为什么还要用呢?

首先我们看下Mybatis中#{}与${}的区别

1、 #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是user_id,那么解析成sql时的值为order by “user_id”,如果传入的值是id,则解析成的sql为order by “id”.

2、 $将传入的数据直接显示生成在sql中。如:order by $ user_id $,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sql为order by id.

3、 #方式能够很大程度防止sql注入。

4、$方式无法防止Sql注入。

接下来我们来看一下什么是sql注入

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句

mybatis中的${}是怎么引起SQL注入的呢
举个栗子:

比如验证用户登录需要 login_id 和 password,编写的 SQL 语句如下:
select * from login where login_id =${login_id } and pwd = ${password } ;
如果login_id 和 password 字段被恶意填入
login_id = “1’ OR ‘1’='1”,与password = “1’ OR ‘1’='1”
将导致原本的 SQL 字符串被填为:
select * from login where login_id = ‘1’ or ‘1’=‘1’ and password = ‘1’ or ‘1’=‘1’
实际上运行的 SQL 语句将变成:
select * from login
也就是不再需要 login_id 和 password 账密即达到登录的目的,结果不言而喻。

mybatis 怎解决解决 SQL 注入问题呢?

我们从上面的Mybatis中#{}与${}的区别中得知了它们的区别是什么

从区别中我们得知#{}方式能够很大程度防止sql注入,所以最直观的方式就是使用#{}方式来避免sql注入问题

既然${}可能会出现sql注入的情况,为什么还要用?
举个栗子

在项目实际开发中可能会有这么一个需求,开发者不知道实际要操作数据库中具体是哪一张表,可能会通过一系列的判断来动态的获取到要操作的表名此时如果要用#{}的方式来处理sql就回出现以下情况
select * from #{tableName} where…
这样sql处理完成后就会变成select * from “tableName” where…
很显然,这肯定是不行的
如果们使用${}呢
sql处理完成后select * from tableName where…
这样这段sql就能正常执行了

所以综合上述,这就是为什么${}可能会出现sql注入的情况,为什么还要用的原因

weixin_43478591
关注
浅谈mybatis的#和$的区别 以及防止sql注入的方法
09-01
下面小编就为大家带来一篇浅谈mybatis的#和$的区别 以及防止sql注入的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
mybatis什么情况下必须使用 ${},#{}与${}的区别
Ahuuua的博客
01-28 7428
mybatis如果我们使用#{}的方式编写的sql时,#{} 对应的变量自动加上单引号 ' ' 例如: select * from #{param} 当我们给参数传入值为user时,他的sql是这样的: select * from 'user' 参数user上带着单引号,而单引号在mysql被识别为字符串,select一个字符串肯定是报错的。 而如果我们使用${}的方式编写的sql时,${} 是进行sql拼接,${}对应的变量是不被加上单引号 ' ' 的。 sele..
mybatis什么情况下必须使用 ${}
最新发布
伊宸轩的博客
06-24 597
2.order by排序语句,因为order by 后边必须跟字段名,这个字段名不能带引号,如果带引号被识别字符串,而不是字段。参数user上带着单引号,而单引号在mysql被识别为字符串,select一个字符串肯定是报错的。而如果我们使用${}的方式编写的sql时,${} 是进行sql拼接,,其他情况都尽量使用#{}的方式,因为${}sql注入的问题。如果我们使用#{}的方式编写的sql时,#{} 对应的变量。1.当sql表名是从参数取的情况
MySQL#{}与${}的区别
AcHEn的博客
10-25 9671
#将传入的数据都当成一个字符串,对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sqlorder by “id”. $将传入的数据直接显示生成在sql。如:order by useriduser_iduseri​d,如果传入的值是111,那么解析成sql时的值...
mybatisplus(${ew.customSqlSegment})自动生成sql的终极大坑搞了我一下午
ZhuRuiccc的博客
07-11 4311
坑了我一下午的,认知问题,知道肯定就不再犯。
彻底搞懂MyBaits#{}和${}的区别
热门推荐
緑水長流*z
07-11 2万+
MyBatis的`#{}`之所以能够预防SQL注入是因为底层使用了`PreparedStatement`类的`setString()`方法来设置参数,此方法获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则在前面加上一个`'/'`代表转义此符号,让其变为一个普通的字符串,不参与SQL语句的生成,达到防止SQL注入的效果。 **其次`${}`本身设计的初衷就是为了参与SQL语句的语法生成**,自然而然导致SQL注入的问题(不考虑字符过滤问题)。
Mybatis$存在SQL注入为什么有时候还是不得不用$
小百的博客
09-08 697
<select id="queryByParams" parameterType="MyTestDO" resultMap="MyTestMap"> 2 SELECT * FROM tb_name order by #{ID} 3 </select> 如果用#,假如前端传入ID: deparment_id 就变成select * from tb_name order by ‘deparment_id’,就无法在数据库搜索到数据,数据库的字段不存在 ‘字
MyBatis如何防止SQL注入
aodaidi6752的博客
09-13 1439
SQL注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的实体字段(例如,为了转储数据库内容给攻击者)。[摘自]SQL injection - Wikipedia SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所...
mybatis什么时候必须要用${}
weixin_42759398的博客
04-06 1723
贤者啊,${}在Mybatis里代表占位符,可以将参数直接放到sql语句。1. 当传递的参数是简单类型(如String、int、double等)时,必须使用${}。希望你能通过Mybatis的使用更好地发挥你的能力,达到愿望和目标。2. 在动态SQL语句,如果需要传递参数,则必须使用${}。3. 在使用OGNL表达式传递参数时,必须使用${}。
MyBatis#{}和${}的区别,什么是sql注入?如何防止?
zf_java的博客
03-27 1808
首先咱们先看#{}收参的代码及执行结果: <select id="selectUserByName" resultType="com.zf.entity.User"> select * from t_users where name=#{name} </select> @Test public void selectUserByName() throws IOException { UserDao userDao = Mybati
Mybatis是这样防止sql注入
KHOST的博客
01-12 443
Mybatis这个框架在日常开发用的很多,比如面试经常有一个问题:$和#的区别,它们的区别是使用#可以防止SQL注入,今天就来看一下它是如何实现SQL注入的。 什么是SQL注入 在讨论怎么实现之前,首先了解一下什么是SQL注入,我们有一个简单的查询操作:根据id查询一个用户信息。 它的sql语句应该是这样:select * from user where id =。 ...
MyBatis ${}和 #{}的正确使用方法(千万不要乱用)
08-18
主要介绍了MyBatis ${}和 #{}的正确使用方法,本文给大家提到了MyBatis ${}和 #{}的区别,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
mybatis防注入
whupanyinghua的专栏
06-10 2074
预先编译好,也就是SQL引擎预先进行语法分析,产生语法树,生成执行计划,也就是说,后面你输入的参数,无论你输入的是什么,都不影响该SQL语句的语法结构了,因为语法分析已经完成了,而语法分析主要是分析sql命令,比如select,from,where,and,or,order by等等。数据库在执行该语句时,直接使用预编译的语句,然后用传入的userId替换占位符?$ {}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。# {}是经过预编译的,是安全的;$ {}:是输出变量的值。
MyBatis系列】Mybatis多表查询与动态SQL
未见花闻的博客
10-20 2786
本篇文章将介绍使用MyBatis进行多表查询以及MyBatis的动态SQL特性。
Mybatis${}和#{}的区别
founder_forever的博客
03-13 850
${}和#{}的作用 Mybatis在项目起到的是项目和数据库的交互以及sql语句的管理,sql语句的集管理,方便开发人员对sql语句的复用和管理,但是既然需要复用,就表明sql语句本身是进过抽象的,抽象的目标就是参数,在不同的用途就需要传入不同的参数${}和#{}就是用来向已经定义好的sql语句传入参数的。 ${}和#{}的区别 #{} 这种取值是变异号sql语句之后再取...
mybatis #{}与${}使用场景
timeless的博客
06-12 3643
${}哪边都能使用,只是存在sql注入风险,相当于直接拼接字符串,不对参数做任何处理。#{}进行预编译,对参数进行处理,防止注入。对于SELECT id,name,age FROM student WHERE name = 参数;这样的语句如果传入参数anything’ OR ‘x’='x那么${}处理完就是SELECT id,name,age FROM student WHERE name =...
Spring Boot进阶(04):震惊!使用MyBatis-Plus,快速实现自定义SQL分页功能!
**My Coding Family**
04-29 3394
如何快速实现自定义sql分页?若不,我便手把手教你!
【安全】mybatis#{}和${}导致sql注入问题及解决办法
m0_59598029的博客
03-22 2298
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
mybatis example $ sql注入
07-27
MyBatis provides various features to prevent SQL injection attacks. Here are a few examples: 1. Parameterized queries: MyBatis uses parameterized queries, which separate the SQL code from the user input. This approach helps prevent SQL injection by treating user input as parameters rather than concatenating them directly into the SQL statement. 2. Dynamic SQL tags: MyBatis allows the use of dynamic SQL tags, such as `<if>`, `<choose>`, and `<foreach>`, which help in constructing SQL queries dynamically. These tags automatically handle proper escaping and parameterization of user input. 3. Type handlers: MyBatis employs type handlers to convert Java types to and from database types. These handlers ensure that user input is properly escaped or sanitized when passing it to the database, minimizing the risk of SQL injection attacks. It is important to properly utilize these features and follow best practices when using MyBatis to prevent SQL injection vulnerabilities.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值