【Mybatis面试题】Mybatis如何防止SQL注入?$#的区别是什么

已于 2024-03-18 10:00:40 修改
阅读量211 收藏 4
点赞数 5
分类专栏: 面试题专栏 文章标签: mybatis sql 数据库
于 2024-03-18 09:59:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44817884/article/details/136800161
版权

1. 如何防止SQL注入?

SQL注入:SQL命令插入到web表单提交或通过页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL指令。注入攻击的本质是把用户输入的数据当做代码执行。例如:

例如: 表单有两个用户需要填写的表单数据,用户名和密码,如果用户输入admin(用户名)111(密码),
若数据库中存在此用户则登录成功。SQL大概是这样
SELECT * FROM XXX WHERE userName = admin and password = 111
遭到了SQL注入,输入的数据变为  admin or 1 =1 # 密码随便输入,这时候就直接登录了,SQL大概是这样:
SELECT * FROM XXX WHERE userName = admin or 1 = 1 # and password = 111,
因为 # 在sql语句中是注释,将后面密码的验证去掉了,而前面的条件中1 = 1始终成立,所以不管密码正确
与否,都能登录成功

SQL注入解决方案:服务器使用#{}完成SQL的拼写。

2. $#的区别是什么?

#{}实现原理: 在Mybatis中的底层是运用了PreparedStatement 预编译,即参数化查询。传入的参数会以? 形式显示, 将带有占位符 ? 的SQL模板发送至MySQL服务器,由服务器对无参数的SQL进行编译后,将编译结果缓存,下次直接使用传入的参数即可。预编译的优点

  1. 提高执行的效率:预编译将SQL语句和参数分离开来,将SQL语句编译成一个执行计划,参数只需要传递即可,不需要每次使用这个SQL语句的时候都要重新进行编译,减少了执行时间和资源的消耗,减少了数据库的负载;
  2. 提高安全性,防止SQL注入
  3. 预编译语句可以重复利用。放到缓存中,可以重复利用。

${}的实现原理:${}仅仅为一个字符串替换,它将占位符替换成一个文本字符串,然后生成SQL语句,在每次执行SQL的时候都会重新进行编译,有SQL注入的问题。

总的来说,推荐在 MyBatis 中使用#{} 符号来传递参数值,以确保安全性和避免 SQL 注入问题。而 ${} 则更适合用于动态拼接 SQL 语句的非值部分,如列名、表名等。

桃花猿
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
MyBatis最经典的20道面试题,你都了吗?
weixin_44976692的博客
01-18 2万+
MyBatis是一款优秀的持久层框架,在Java开发中广受欢迎。下面是一些常见的MyBatis面试题,以及相应的案例分析,希望对你的学习和面试有所帮助。MyBatis是一款基于Java的持久层框架,它通过XML描述符或注解将对象与存储过程或SQL语句进行映射,实现了面向对象编程与关系数据库的映射。动态SQLMyBatis中的一项强大功能,它可以根据条件判断动态拼接SQL语句,避免硬编码。例如,动态SQL可以在条件成立时插入WHERE子句:
mybatis中的#和$的区别 以及 防止sql注入
bruce_sky的专栏
05-26 1万+
声明:这是转载的。 mybatis中的#和$的区别 1. #将传入的数据都当成一个字符串,对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user
Mybatis是这样防止sql注入
KHOST的博客
01-12 435
Mybatis这个框架在日常开发中用的很多,比如面试中经常有一个问题:$和#的区别,它们的区别是使用#可以防止SQL注入,今天就来看一下它是如何实现SQL注入的。 什么是SQL注入 在讨论怎么实现之前,首先了解一下什么是SQL注入,我们有一个简单的查询操作:根据id查询一个用户信息。 它的sql语句应该是这样:select * from user where id =。 ...
Mybatis防止SQL注入
最新发布
Jc0803kevin的专栏
07-13 1064
防止SQL注入的中心思想就是参数化查询,将输入当作参数传递,而不是直接拼接到 SQL 语句中。常见的防止SQL注入的方式1、#{}2、3、[配置 SQL 注入过滤器](#配置 SQL 注入过滤器)
mybatis防止sql注入
u012406790的专栏
09-15 548
1、#{}和${}的区别: (1)#{} select id,name from user where id=#{id} 打印的sql语句为: select id,name from user where id=? (2)${} select id,name from user where id=${id} 如果id值为8,打印的语句为: select id,nam
mybatis 防止sql注入
这个夏天有点冷
10-10 164
1)、#和$符号的差异:        #{}:相当于JDBC中的PreparedStatement        ${}:相当于JDBC中的Statement,使用字符串拼接的形式        简单说,#{}是经过预编译的,是安全的;${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。使用时尽量使用#{},不得已使用${}则相应对输入值进行必要的校验,防止sql注入。 ...
MyBatis防止sql注入
qq_37634156的博客
04-07 9066
前言 关于sql注入的解释这里不再赘述。 在MyBatis防止sql注入主要分为两种: 第一种就是MyBatis提供了两种支持动态 sql 的语法 #{}和 ${},其中${} 是简单的字符串替换,而 #{}在预处理时,把参数部分用一个占位符 ? 代替,可以有效的防止sql的注入,面试的时候经常问到,这里也不再详细赘述; 第二种是排序防止sql注入,实现方案如下 SQL注入过滤器 以下是sql注入过滤器,当判断出是非法字符时则抛出到自定义的异常类B...
MyBatis中#{}和${}的区别,什么是sql注入?如何防止
zf_java的博客
03-27 1803
首先咱们先看#{}收参的代码及执行结果: <select id="selectUserByName" resultType="com.zf.entity.User"> select * from t_users where name=#{name} </select> @Test public void selectUserByName() throws IOException { UserDao userDao = Mybati
Mybatis XML中 # 和 $ 哪个可以防止SQL注入
崔向阳@李晓的博客
05-22 910
SQL注入是常见的SQL安全问题,防止SQL注入的方式有很多: JDBC方式查询,我们可以利用PreparedStatement,这样不光能提升查询效率,而且他的set方法已经为我们处理好了sql注入的问题。 ibernate方式查询,我们利用name:parameter方式查询。 在查询方法中检查sql,将非法字符,导致sql注入的字符串,过滤掉或者转化。 在页面中限制,我们通过js设置,不让用户输入非法字符。 拦截请求的每一个参数,并将这个参数的非法字符转化。 SQL注入是通过把SQL命令插.
Mybatis面试题(含答案)_.pdf
08-06
1. #{}和${}的区别是什么? 2. 通常一个 Xml 映射文件,都写一个 Dao 接口与之对应, 请问,这个 Dao 接口的工作原理是什么?Dao 接口里的方法, 参数不同时,方法能重载吗? 3. Mybatis 是如何进行分页的?分页...
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
浅谈mybatis中的#和$的区别 以及防止sql注入的方法
09-01
下面小编就为大家带来一篇浅谈mybatis中的#和$的区别 以及防止sql注入的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
mybatis面试题(经典问答)
06-27
mybatis面试题(经典问答) 1、JDBC有多少步? JDBC可以分为六个步骤 负载驱动程序 获取数据库连接 创建语句对象 操作数据库进行增删改查 获取结果集 关闭资源 2.什么是mybatis? 如果你在面试中被问到,只需说以下...
mybatis面试题整理详细版
06-23
MyBatis 面试题整理详细版 MyBatis 是一个半 ORM(对象关系映射)框架,它内部封装了 JDBC,开发时只需要关注 SQL 语句本身,不需要花费精力去处理加载驱动、创建连接、创建 statement 等繁杂的过程。MyBatis 可以...
吐血整理MyBatis面试题大全
weixin_68595485的博客
08-24 2889
吐血整理MyBatis面试题大全,既可以应对面试,也用于可以提高对于Mybatis理解,小白也可以看哦
Mybatis防止Sql注入
热门推荐
Daniel的博客
05-25 2万+
一、什么是Sql注入 sql注入是一种代码注入技术,将恶意的sql插入到被执行的字段中,以不正当的手段多数据库信息进行操作。 在jdbc中使用一般使用PreparedStatement就是为了防止sql注入。 比如代码 :"select * from user where id =" + id; 正常执行不出现问题,一旦被sql注入,比如将传入参数id=“3 or 1 = 1”,那么sq...
Mybatis防止sql注入
qq_35909080的博客
01-10 433
案例分析 SQL注入,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性要求很高的应用中(比如银行软件),经常使用将SQL语句全部替换为存储过程这样的方式,来防止SQL注入。这当然是一种很安全的方式,但我们平时开发中,可能...
"Mybatis面试题详解及优势分析
Mybatis面试题整理详细版 Mybatis是一个半ORM(对象关系映射)框架,它内部封装了JDBC,开发时只需要关注SQL语句本身,不需要花费精力去处理加载驱动、创建连接、创建statement等繁杂的过程。程序员直接编写原生态...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

桃花猿

客官,赏点打酒钱

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值