在Spring Boot项目中,提供了DigestUtils
工具类,此工具类的方法可以轻松实现“使用MD5算法”进行运算,从而,可以实现将原始密码进行加密,得到一个加密后的结果。
package cn.tedu.csmall.product; import lombok.extern.slf4j.Slf4j; import org.junit.jupiter.api.Test; import org.springframework.util.DigestUtils; @Slf4j public class DigestTests { @Test public void testEncode() { String rawPassword = "123456"; String encodedPassword = DigestUtils .md5DigestAsHex(rawPassword.getBytes()); log.debug("原始密码={},MD5运算结果={}", rawPassword, encodedPassword); } }
消息摘要算法
首先,对密码进行加密后,再存储,是非常有必要的!并且,主要的防范对象通常是内部员工!
需要注意,对密码进行加密处理时,不可以使用加密算法!因为,所有的加密算法都是可以加密,也可以解密的!加密算法的核心价值在于保证数据在传输过程中是安全的,并不保证数据存储的安全!
对需要存储的密码进行加密处理时,应该使用消息摘要算法,其本质是一种哈希算法,是不可逆向运算的!
消息摘要算法的典型特征:
- 消息相同,则摘要相同
- 无论消息长度,摘要的长度是固定的(同一种算法)
- 消息不同,则摘要几乎不会相同
常见的消息摘要算法有:
- MD系列:MD2(128bit)、MD4(128bit)、MD5(128bit)
- SHA家族:SHA-1(160bit)、SHA-256(256bit)、SHA-384(384bit)、SHA-512(512bit)
以MD5为例,其运算结果是128个二进制组成,通常,会转换成十六进制数来表示,则是32位长度的十六进制数。
所以,MD5算法的运算结果的种类有2的128次方种,即:340282366920938463463374607431768211456
由于消息算法在运算过程中会丢失一部分的数据,所以,消息算法都是不可逆的!
使用消息摘要算法处理密码加密时,任何“破解”都不会是“根据密文计算得到原文”的!
在网络上,有一些平台记录了简单的明文密文的对应关系的数据库,以实现“根据密文查询出原文”的效果,但是,只要原文足够复杂(8位长度以上),这些平台不可能收录其对应关系!
为了保证密码原文的复杂性,应该使用“盐”,它将作为被运算数据的组件部分之一,例如:
String rawPassword = "123456"; String salt = "jhfdiu78543hjfdo8"; String encodedPassword = DigestUtils.md5DigestAsHex((rawPassword + salt).getBytes());
即使原密码非常简单,但是,对于运算过程而言,真正的原始数据已经变成了123456jhfdiu78543hjfdo8
,这样的原文与其密文的对应关系是不可能被各平台收录的!
所以,为了保障用户密码的安全,可行的做法有:
-
要求用户使用强度更高的原始密码
- 要求使用较长的密码
- 要求密码中包含的字符种类更多样化
-
加盐
- 理论上,盐值越复杂越好,但是,也没有必要过度复杂
- 盐值的具体使用也没有规定,原则上,只要能使得被运算数据变复杂即可
-
循环加密
- 将第1次运算得到的密文,作为原文,进行第2次的运算,如此循环多次
-
使用位长更长的消息摘要算法
-
综合使用以上各种做法
Mybatis的#{}与${}占位符
在使用Mybatis配置SQL语句时,SQL语句中的参数可以使用#{}
格式的占位符,例如:
<!-- AlbumStandardVO getStandardById(Long id); --> <select id="getStandardById" resultMap="StandardResultMap"> SELECT <include refid="StandardQueryFields"/> FROM pms_album WHERE id=#{id} </select>
其实,还可以使用${}
占位符!
以上配置,使用#{}
或${}
格式的占位符均可正常通过测试!
另外,再使用一段代码进行测试:
<!-- int countByName(String name); --> <select id="countByName" resultType="int"> SELECT count(*) FROM pms_album WHERE name=#{name} </select>
以上代码,使用#{}
格式的占位符可以正常通过测试,但是,使用${}
格式的占位符则会出现错误:
Cause: java.sql.SQLSyntaxErrorException: Unknown column '小米13的相册' in 'where clause' ; bad SQL grammar []; nested exception is java.sql.SQLSyntaxErrorException: Unknown column '小米13的相册' in 'where clause'
通过错误信息,可以看到,SQL语句中将测试参数 小米13的相册
作为了列名(字段名)!
其实,在SQL语句中,除了关键词、数值、运算符、函数名等非常固定的内容以外,所有内容都会被视为某个名字,例如:表名、字段名或其它自定义的名称(例如索引名等),比较典型的应用,例如:
update bank_account set money = money + 1000 where id = 1;
以上SQL语句的意思大致是:将id=1的账户的余额在现有基础之上增加1000。
可以看到,在以上set money = money + 1000
部分的代码片段中,等于号右侧的 money
会被视为“字段名”!
为了避免MySQL把 小米13的相册
视为字段名,必须在 小米13的相册
的两侧添加一对单引号,例如:
SELECT count(*) FROM pms_album WHERE name='${name}'
或者,在测试数据的两侧添加一对单引号也是可以的:
String name = "'小米13的相册'";
所以,在SQL语句中,只有将值使用一对双引号框住(数值除外),才会被认为是“值”!
------------------------- 分隔线 -------------------------
在MySQL处理SQL语句时,会经过词法分析、语义分析,然后再执行编译,最终执行!
在Mybatis中,使用#{}
格式的占位符,在底层实现时,会使用预编译(在编译时与参数值无关)的处理机制,值将会在执行时再代入!由于采用了预编译的做法,所有值都不用考虑数据类型的问题,例如,不需要给字符串类型的值添加一对单引号,并且,预编译是安全的,不会出现SQL注入问题!这种做法中,#{}
占位符只能表示SQL语句中的某个值,而不能表示其它内容!
使用${}
格式的占位符,在底层实现时,会先将值拼接到原SQL语句中,然后再执行编译的相关流程!由于不是预编译的,字符串、日期等类型的值需要添加一对单引号,否则,将被视为字段名、运算表达式等,由于是先代入值再执行编译相关流程,所以,代入的值是可以改变语义的,是存在SQL注入风险的!这种做法中,${}
占位符可以表示SQL语句中的任何片段,只需要保证拼接起来后可以通过编译即可!
附:SQL注入演示:
select * from user where username='xxx' and password='xxxxxxxxxxxx'; -- 1' or 'a'='a select * from user where username='xxx' and password='1' or '1'='1'; or true