sql注入和原理理解

sql注入

比如后台编写的sql字符串是这样的：

String sql = "select * from user where user_name='" + name + "' and password='" + password + "'";

当传入的值是正常的时，sql没有问题

#传入值是
String name ="张三"; 
String password="12345";

但是传入 那这个sql就变成了

#传入值是
String name ="张三’ or  1=1 --"; 
String password=null;

#最后执行的sql就成了这样
select * from user where user_name='张三’ or  1=1  
 -- and password=‘’;

就会恒成立，输出所有的用户和密码了，这就是sql注入了

预编译解决

我们使用mybatis的时候编写sql时使用#{}而不是${}，
${}使用的就是字符串拼接，同样会有sql注入的风险。
而#{}采用了预编译的处理，在执行这个sql之前，已经进行了预编译的处理，将需要执行的参数使用符号？作为占位符，当具体数据执行时直接替换进行执行。也就避免了sql注入的风险。

预编译的理解

看了些资料以后，做了些总结 ， 就是预编译可以看作成，将需要执行的sql进行了编译变成了一个函数，参数就是那些需要传入的参数，函数已经编写好了，需要执行的时候，只需要调用函数传入参数执行。

比如图片中要是传入了同样的sql注入的数据

#传入值是
String name ="张三’ or  1=1 --"; 
String password=null;

#最后执行的sql就成了这样  传入后不会重新进行编译了，传入后直接执行

select * from user where user_name='张三 or  1=1  --' and password=‘’;
#可想而知，最后执行肯定会有问题，不会成功