【面经】预编译为什么可以防止sql注入,mybatis是如何预防的

最新推荐文章于 2023-08-18 17:21:48 发布
最新推荐文章于 2023-08-18 17:21:48 发布
阅读量1.4k 收藏 8
点赞数 5
文章标签: sql mybatis 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45525005/article/details/108124612
版权
本文探讨了如何防御SQL注入,重点在于预编译的作用。预编译通过提前解析SQL语句并分离命令与参数,防止恶意输入影响语义解析。在Mybatis中,通过使用#{param}占位符方式,实现了类似预编译的效果,增强了安全性。然而,使用$${param}时,查询未预编译,可能导致SQL注入,此时需在代码层面进行额外过滤。
摘要由CSDN通过智能技术生成

安全工程师一面遇到的问题:

1、sql注入怎么防御?

答:sql语句预编译

为什么预编译能防止sql注入?

吐血!!平时只记着sql注入的防御方法是预编译,没想到问这个还答不上来。

赶紧补一补,下面是我的个人理解,如有哪里写的不对 ,恳请各位大牛斧正。

        首先我们要知道执行一条sql命令的过程:

一条sql语句的执行需要经过语义解析,制定执行计划,执行并返回结果。

       预编译是指把要执行的sql语句先进行一个解析,解析语法以及确定查询范围还有查找的返回结果类型,就是确定了查询的方式,把命令和参数进行了分离,使用预编译的sql语句来进行查询直接进行执行计划,不会在进行语义解析,也就是DB不会在进行编译,而是直接执行编译过的sql。只需要替换掉参数部分。

SELECT id,title,author,content FROM blog WHERE id = "?"

      我们看上面这条查询语句,如果经过了预编译,这个时候不管"?"输入的是什么都不会调用编译器来解析sql指令了,而是只替换掉参数的位置,然后执行编译好的查询,尽管输入1' or '1=1' -- 也会只把这一部分当做参数替换掉"?"的位置,查找这个字符串,而不会再解析or这个语法了。

2、mybatis是如何防止sql注入的

首先我们看一下mybatis定义sql语句的映射文件里的内容:

最低0.47元/天 解锁文章
黑娃成长之路
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
预编译为什么能防止SQL注入?一看你就明白了。预编译原理详解
wangyuxiang946的博客
09-16 1万+
预编译可以将SQL语句模板化,值的位置用占位符替代,这样数据库就会事先编译好SQL语法结构,等真正调用的时候,再传入值执行,省掉了重复建立语法树的时间用户传入的参数不参与语法树的构建,就改不了SQL的语法结构,也就避免了注入。
预编译为什么能防止SQL注入?一看你就明白了。预编译原理详解_预编译防止sql注入
最新发布
m0_62289824的博客
04-21 833
预编译可以将SQL语句模板化,值的位置用占位符替代,这样数据库就会事先编译好SQL语法结构,等真正调用的时候,再传入值执行,省掉了重复建立语法树的时间。模拟预编译则用于那些不支持预编译的数据库,本质上是在底层先对用户的输入进行转译,再对SQL语句进行拼接,然后把完整的SQL语句发给数据库执行。正常情况下,用户输入的参数会直接参与SQL语法的编译,而预编译则是先构建语法树,确定SQL语法结构以后,再拼接用户的参数。从注入的过程中我们可以发现,SQL注入的核心是:用户输入的参数改变了SQL的语法结构。
数据库预编译为什么能防止SQL注入呢?
热门推荐
weixin_45179130的博客
06-04 1万+
要回答这个问题,我们要知道怎么进行的SQL注入,所谓知己知彼,方能百战百胜。 什么是SQL注入?? 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或页面请求url的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不...
sql预编译为什么可以防止sql注入
qq_16607641的博客
03-01 781
参考链接:https://www.zhihu.com/question/268680479 如果不使用预编译,那么我们一般做查询或更新的条件,是用字符串拼起来的,例如zhuan String id = (String)request.getAttribute("id"); //假设页面shu上传了一个id值过来 String SQL = "SELECT ID,NAME FROM USER WHERE ID='" + id + "'"; //拼接成一个完整的sql语句 初看没有什么不对,但是因为
为啥预编译SQL能够防止SQL注入
ma_nong33的博客
03-04 1278
回顾一下全文,当我们说“预编译”的时候,其实这个功能来自于数据库的支持,它的原理是先编译带有占位符的 SQL 模板,然后在传入参数让数据库自动替换 SQL 中占位符并执行,在这个过程中,由于预编译好的 SQL 模板本身语法已经定死,因此后续所有参数都会被视为不可执行的非 SQL 片段被转义,因此能够防止 SQL 注入。作为条件的字段有哪些?在默认情况下是假的“预编译”,它只不过在设置参数的时候帮我们对参数做了一下转义,但是最后发送到数据库的依然是普通的 SQL,而不是按预编译 SQL 的方式去执行。
防止sql注入方法之预编译
波波豆奶
06-08 1022
PreparedStatement的预编译功能是指首先将SQL语句编译成可重复使用的预处理语句(PreparedStatement),然后将其保存在数据库服务器端的缓存中以备后续使用。当需要执行该SQL语句时,只需将具体参数传入预处理语句即可快速执行SQL语句,而无需每次都重新解析和编译SQL语句。(3)打开mysql.log,发现其中Prepare就是预编译SQL语句,Execute就是执行SQL语句。4.验证方法:通过日志文件来看一下预编译的效果(如果之前开启过日志可直接跳至(3))
mybatis防止SQL注入的方法实例详解
08-27
例如,在 mapper 文件中可以使用预编译语句来防止 SQL 注入: ```xml SELECT name FROM user where id = #{userId} ``` 在对应的 Java 文件中,可以使用预编译语句来避免 SQL 注入攻击: ```java public ...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.txt|Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.txt
09-05
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么答案 Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么答案
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.详情介绍
06-09
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.详情介绍Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.详情介绍Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,...
java持久层框架mybatis防止sql注入的方法
09-01
MyBatis提供了多种机制来防止SQL注入,其中最常用且有效的一种是使用预编译SQL语句,即PreparedStatement。在MyBatis中,我们通常使用`#{}`语法来引用参数,例如在以下的映射语句中: ```xml select id, title,...
预编译sql注入
scheme2008的专栏
11-03 295
prepareStatement会先初始化SQL,先把这个SQL提交到数据库中进行预处理,多次使用可提高效率。 createStatement不会初始化,没有预处理,没次都是从0开始执行SQL 以Oracle为例吧 Statement为一条Sql语句生成执行计划, 如果要执行两条sql语句 select colume from table where colume=1; sele...
用PreparedStatement 预编译SQL 就不会有被 SQL 注入的风险?
数字化小李的博客
12-07 641
当我们说到关于持久层框架的功能,必然需要先想想这个功能的源头到底是不是直接通过数据库提供的。实际上和事务一样,SQL 预编译的功能也是需要数据库提供底层支持的。以 MySQL 为例,在 MySQL 中,所谓预编译其实是指先提交带占位符的 SQL 模板,然后为其指定一个 key,MySQL 先将其编译好,然后用户再拿着 key 和占位符对应的参数让 MySQL 去执行,用法有点像 python 中的 format 函数。一个标准的预编译 SQL 的用法如下:先通过 设置一个 SQL 模板,然后通过 提交参
使用预编译语句是预防SQL注入的最佳方式
iteye_11305的博客
01-08 3514
sql预编译 定义 sql 预编译指的是数据库驱动在发送 sql 语句和参数给 DBMS 之前对 sql 语句进行编译,这样 DBMS 执行 sql 时,就不需要重新编译。 为什么需要预编译 JDBC 中使用对象 PreparedStatement 来抽象预编译语句,使用预编译 预编译阶段可以优化 sql 的执行。 预编译之后的 sql 多数情况下可以直接执行,DB...
预编译以及为什么预编译可以防止sql注入
weixin_44717588的博客
03-15 4319
预编译 什么是预编译? 预编译就是做一些代码文本的替换工作,是整个编译过程最先做的事情. 比如有一个语句: 我可真是太##了! 预编译就是对#进行替换,我换成漂亮,则变成:我可真是太漂亮了! 其实就是在代码运行之前,对代码进行一些处理. 为什么预编译能够防止sql注入? 我们先来看一个例子,通俗的理解一下预编译的注入: 使用sql拼接:"select * from user where username = ’ " + name + " ’ "; 页面上可能会有个输入框:用户名:______________
对于预编译防止sql注入的总结
m0_57713282的博客
05-30 1088
预编译实际上是简单的文本替换。也就是说带有占位符的sql语句,是事先在数据库进行编译的,最后把参数传给sql语句(参数化查询),来执行sql语句,前台用户输入的参数会被当作是sql的参数,进行执行sql语句 而 ...
预编译SQL的缺陷
HandsomeLinux的专栏
01-19 1467
众所周知,JDBC的PrepareStatement接口可以进行预编译SQL。这样数据库会将编译后的SQL绑定在这个连接上,只需要不断的进行参数替换就可以提高SQL的执行效率。但是这样的设计是有缺陷的,并不是所有的情况都会提高执行效率,反而也会有最差的情况。 废话不多说。因为数据库的预编译一但创建,执行计划就会一成不变的被保存起来(预编译SQL)。因此,他不可能去适应所有的情况。比如说下面的SQ
浅析预编译防止SQL注入的原理
qq_44286009的博客
08-18 617
要理解防止SQL注入的原理,那么首先需要知道什么是SQL注入。百度百科对SQL注入的解释如下:对于理论,这里不作过多赘述,通过一个例子来说明什么是SQL注入。假如我们有一个登录页面,登录页面大致如下图所示。这个时候,用户正常登陆就是输入用户名和密码进行登录。我们大致写一个后台的登录逻辑(这里大家不必过于较真,实际项目的登录逻辑肯定与下面代码是有出入的,这里主要是为了对SQL注入进行一个简单的演示// 数据库连接信息try {// 加载驱动// 建立数据库连接。
什么是SQL注入?使用Mybatis时,如何防止SQL注入
06-09
1. 使用预编译语句:Mybatis支持使用#{}语法进行参数绑定,#{}会将参数转义后再进行拼接,避免了SQL注入的风险。 2. 使用参数类型指定:Mybatis支持在Mapper接口方法中指定参数的具体类型,这样可以在运行时检查...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值