【面经】预编译为什么可以防止sql注入,mybatis是如何预防的

本文探讨了如何防御SQL注入,重点在于预编译的作用。预编译通过提前解析SQL语句并分离命令与参数,防止恶意输入影响语义解析。在Mybatis中,通过使用#{param}占位符方式,实现了类似预编译的效果,增强了安全性。然而,使用$${param}时,查询未预编译,可能导致SQL注入,此时需在代码层面进行额外过滤。
摘要由CSDN通过智能技术生成

安全工程师一面遇到的问题:

1、sql注入怎么防御?

答:sql语句预编译

为什么预编译能防止sql注入?

吐血!!平时只记着sql注入的防御方法是预编译,没想到问这个还答不上来。

赶紧补一补,下面是我的个人理解,如有哪里写的不对 ,恳请各位大牛斧正。

        首先我们要知道执行一条sql命令的过程:

一条sql语句的执行需要经过语义解析,制定执行计划,执行并返回结果。

       预编译是指把要执行的sql语句先进行一个解析,解析语法以及确定查询范围还有查找的返回结果类型,就是确定了查询的方式,把命令和参数进行了分离,使用预编译的sql语句来进行查询直接进行执行计划,不会在进行语义解析,也就是DB不会在进行编译,而是直接执行编译过的sql。只需要替换掉参数部分。

SELECT id,title,author,content FROM blog WHERE id = "?"

      我们看上面这条查询语句,如果经过了预编译,这个时候不管"?"输入的是什么都不会调用编译器来解析sql指令了,而是只替换掉参数的位置,然后执行编译好的查询,尽管输入1' or '1=1' -- 也会只把这一部分当做参数替换掉"?"的位置,查找这个字符串,而不会再解析or这个语法了。

2、mybatis是如何防止sql注入的

首先我们看一下mybatis定义sql语句的映射文件里的内容:

  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值