消息摘要算法与密码加密

在Spring Boot项目中，提供了DigestUtils工具类，此工具类的方法可以轻松实现“使用MD5算法”进行运算，从而，可以实现将原始密码进行加密，得到一个加密后的结果。

package cn.tedu.csmall.product;

import lombok.extern.slf4j.Slf4j;
import org.junit.jupiter.api.Test;
import org.springframework.util.DigestUtils;

@Slf4j
public class DigestTests {

    @Test
    public void testEncode() {
        String rawPassword = "123456";
        String encodedPassword = DigestUtils
                .md5DigestAsHex(rawPassword.getBytes());
        log.debug("原始密码={}，MD5运算结果={}", rawPassword, encodedPassword);
    }

}

消息摘要算法

首先，对密码进行加密后，再存储，是非常有必要的！并且，主要的防范对象通常是内部员工！

需要注意，对密码进行加密处理时，不可以使用加密算法！因为，所有的加密算法都是可以加密，也可以解密的！加密算法的核心价值在于保证数据在传输过程中是安全的，并不保证数据存储的安全！

对需要存储的密码进行加密处理时，应该使用消息摘要算法，其本质是一种哈希算法，是不可逆向运算的！

消息摘要算法的典型特征：

• 消息相同，则摘要相同
• 无论消息长度，摘要的长度是固定的（同一种算法）
• 消息不同，则摘要几乎不会相同

常见的消息摘要算法有：

• MD系列：MD2（128bit）、MD4（128bit）、MD5（128bit）
• SHA家族：SHA-1（160bit）、SHA-256（256bit）、SHA-384（384bit）、SHA-512（512bit）

以MD5为例，其运算结果是128个二进制组成，通常，会转换成十六进制数来表示，则是32位长度的十六进制数。

所以，MD5算法的运算结果的种类有2的128次方种，即：340282366920938463463374607431768211456

由于消息算法在运算过程中会丢失一部分的数据，所以，消息算法都是不可逆的！

使用消息摘要算法处理密码加密时，任何“破解”都不会是“根据密文计算得到原文”的！

在网络上，有一些平台记录了简单的明文密文的对应关系的数据库，以实现“根据密文查询出原文”的效果，但是，只要原文足够复杂（8位长度以上），这些平台不可能收录其对应关系！

为了保证密码原文的复杂性，应该使用“盐”，它将作为被运算数据的组件部分之一，例如：

String rawPassword = "123456";
String salt = "jhfdiu78543hjfdo8";
String encodedPassword = DigestUtils.md5DigestAsHex((rawPassword + salt).getBytes());

即使原密码非常简单，但是，对于运算过程而言，真正的原始数据已经变成了123456jhfdiu78543hjfdo8，这样的原文与其密文的对应关系是不可能被各平台收录的！

所以，为了保障用户密码的安全，可行的做法有：

• 要求用户使用强度更高的原始密码

  • 要求使用较长的密码
  • 要求密码中包含的字符种类更多样化

• 加盐

  • 理论上，盐值越复杂越好，但是，也没有必要过度复杂
  • 盐值的具体使用也没有规定，原则上，只要能使得被运算数据变复杂即可

• 循环加密

  • 将第1次运算得到的密文，作为原文，进行第2次的运算，如此循环多次

• 使用位长更长的消息摘要算法

• 综合使用以上各种做法

Mybatis的#{}与${}占位符

在使用Mybatis配置SQL语句时，SQL语句中的参数可以使用#{}格式的占位符，例如：

<!-- AlbumStandardVO getStandardById(Long id); -->
<select id="getStandardById" resultMap="StandardResultMap">
    SELECT
        <include refid="StandardQueryFields"/>
    FROM
        pms_album
    WHERE
        id=#{id}
</select>

其实，还可以使用${}占位符！

以上配置，使用#{}或${}格式的占位符均可正常通过测试！

另外，再使用一段代码进行测试：

<!-- int countByName(String name); -->
<select id="countByName" resultType="int">
    SELECT count(*) FROM pms_album WHERE name=#{name}
</select>

以上代码，使用#{}格式的占位符可以正常通过测试，但是，使用${}格式的占位符则会出现错误：

Cause: java.sql.SQLSyntaxErrorException: Unknown column '小米13的相册' in 'where clause'
; bad SQL grammar []; nested exception is java.sql.SQLSyntaxErrorException: Unknown column '小米13的相册' in 'where clause'

通过错误信息，可以看到，SQL语句中将测试参数 小米13的相册 作为了列名（字段名）！

其实，在SQL语句中，除了关键词、数值、运算符、函数名等非常固定的内容以外，所有内容都会被视为某个名字，例如：表名、字段名或其它自定义的名称（例如索引名等），比较典型的应用，例如：

update bank_account set money = money + 1000 where id = 1;

以上SQL语句的意思大致是：将id=1的账户的余额在现有基础之上增加1000。

可以看到，在以上set money = money + 1000部分的代码片段中，等于号右侧的 money 会被视为“字段名”！

为了避免MySQL把 小米13的相册 视为字段名，必须在 小米13的相册 的两侧添加一对单引号，例如：

SELECT count(*) FROM pms_album WHERE name='${name}'

或者，在测试数据的两侧添加一对单引号也是可以的：

String name = "'小米13的相册'";

所以，在SQL语句中，只有将值使用一对双引号框住（数值除外），才会被认为是“值”！

------------------------- 分隔线 -------------------------

在MySQL处理SQL语句时，会经过词法分析、语义分析，然后再执行编译，最终执行！

在Mybatis中，使用#{}格式的占位符，在底层实现时，会使用预编译（在编译时与参数值无关）的处理机制，值将会在执行时再代入！由于采用了预编译的做法，所有值都不用考虑数据类型的问题，例如，不需要给字符串类型的值添加一对单引号，并且，预编译是安全的，不会出现SQL注入问题！这种做法中，#{}占位符只能表示SQL语句中的某个值，而不能表示其它内容！

使用${}格式的占位符，在底层实现时，会先将值拼接到原SQL语句中，然后再执行编译的相关流程！由于不是预编译的，字符串、日期等类型的值需要添加一对单引号，否则，将被视为字段名、运算表达式等，由于是先代入值再执行编译相关流程，所以，代入的值是可以改变语义的，是存在SQL注入风险的！这种做法中，${}占位符可以表示SQL语句中的任何片段，只需要保证拼接起来后可以通过编译即可！

附：SQL注入演示：

select * from user where username='xxx' and password='xxxxxxxxxxxx';
--   												  1' or 'a'='a


select * from user where username='xxx' and password='1' or '1'='1';
														 or true