sql注入
比如后台编写的sql字符串是这样的:
String sql = "select * from user where user_name='" + name + "' and password='" + password + "'";
当传入的值是正常的时,sql没有问题
#传入值是
String name ="张三";
String password="12345";
但是传入 那这个sql就变成了
#传入值是
String name ="张三’ or 1=1 --";
String password=null;
#最后执行的sql就成了这样
select * from user where user_name='张三’ or 1=1
-- and password=‘’;
就会恒成立,输出所有的用户和密码了,这就是sql注入了
预编译解决
我们使用mybatis的时候编写sql时使用#{}而不是${},
${}使用的就是字符串拼接,同样会有sql注入的风险。
而#{}采用了预编译的处理,在执行这个sql之前,已经进行了预编译的处理,将需要执行的参数使用符号?作为占位符,当具体数据执行时直接替换进行执行。也就避免了sql注入的风险。
预编译的理解
看了些资料以后,做了些总结 , 就是预编译可以看作成,将需要执行的sql进行了编译变成了一个函数,参数就是那些需要传入的参数,函数已经编写好了,需要执行的时候,只需要调用函数传入参数执行。
比如图片中要是传入了同样的sql注入的数据
#传入值是
String name ="张三’ or 1=1 --";
String password=null;
#最后执行的sql就成了这样 传入后不会重新进行编译了,传入后直接执行
select * from user where user_name='张三 or 1=1 --' and password=‘’;
#可想而知,最后执行肯定会有问题,不会成功