MyBatis如何防止SQL注入

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/zhou920786312/article/details/79980054

下面是MyBatis一个Dao配置

    <select id="findRank" parameterType ="String" resultType="String">
        SELECT u.name FROM UserInfo u
            where 1=1
            and u.UserID=#{userID} ;    
    </select>

打印出执行的SQL语句


 SELECT u.name FROM UserInfo u where 1=1 and u.UserID=?     

这是因为MyBatis启用了预编译功能,在SQL执行前,会先将上面的SQL发送给数据库进行编译;执行时,直接使用编译好的SQL,替换占位符“?”就可以了。因为SQL注入只能对编译过程起作用,所以这样的方式就很好地避免了SQL注入的问题。
【底层实现原理】
MyBatis是如何做到SQL预编译的呢?其实在框架底层,是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行同一个SQL时,能够提高效率。原因是SQL已编译好,再次执行时无需再编译。

话说回来,是否我们使用MyBatis就一定可以防止SQL注入呢?当然不是,请看下面的代码:

    <select id="findRank" parameterType ="String" resultType="String">
        SELECT u.name FROM UserInfo u
            where 1=1
            and u.UserID=${userID} ;   
    </select>

假设userID=1,将SQL打印出来是这样的:

 SELECT u.name FROM UserInfo u where 1=1 and u.UserID=1

假如:
userID=1;drop table UserInfo ;那么sql是这样的

 SELECT u.name FROM UserInfo u where 1=1 and u.UserID=1;drop table UserInfo ;
 测试结果

 SELECT u.name FROM UserInfo u  where 1=1   and u.UserID=1;drop table UserInfo;
### Cause: com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'drop table UserInfo' at line 3
直接报异常,你应该庆幸mybaties做了处理,但是不管怎么说${xxx}是无法阻止SQL注入的。

${xxx}”
缺点: 直接参与SQL编译,不能避免注入攻击。
优点:及到动态表名和列名时,只能使用“${xxx}”这样的参数格式
注意: 这样的参数需要我们在代码中手工进行处理来防止注入。

“#{xxx}“
相当于JDBC中的PreparedStatement
${}:是输出变量的值
优点:#{}是经过预编译的,是安全的;

阅读更多
想对作者说点什么?

博主推荐

换一批

没有更多推荐了,返回首页