安全工程师一面遇到的问题:
1、sql注入怎么防御?
答:sql语句预编译
为什么预编译能防止sql注入?
吐血!!平时只记着sql注入的防御方法是预编译,没想到问这个还答不上来。
赶紧补一补,下面是我的个人理解,如有哪里写的不对 ,恳请各位大牛斧正。
首先我们要知道执行一条sql命令的过程:
一条sql语句的执行需要经过语义解析,制定执行计划,执行并返回结果。
预编译是指把要执行的sql语句先进行一个解析,解析语法以及确定查询范围还有查找的返回结果类型,就是确定了查询的方式,把命令和参数进行了分离,使用预编译的sql语句来进行查询直接进行执行计划,不会在进行语义解析,也就是DB不会在进行编译,而是直接执行编译过的sql。只需要替换掉参数部分。
SELECT id,title,author,content FROM blog WHERE id = "?"
我们看上面这条查询语句,如果经过了预编译,这个时候不管"?"输入的是什么都不会调用编译器来解析sql指令了,而是只替换掉参数的位置,然后执行编译好的查询,尽管输入1' or '1=1' -- 也会只把这一部分当做参数替换掉"?"的位置,查找这个字符串,而不会再解析or这个语法了。
2、mybatis是如何防止sql注入的
首先我们看一下mybatis定义sql语句的映射文件里的内容: