MyBatis如何防止SQL注入

1人阅读 评论(0) 收藏 举报
分类:

下面是MyBatis一个Dao配置

    <select id="findRank" parameterType ="String" resultType="String">
        SELECT u.name FROM UserInfo u
            where 1=1
            and u.UserID=#{userID} ;    
    </select>

打印出执行的SQL语句


 SELECT u.name FROM UserInfo u where 1=1 and u.UserID=?     

这是因为MyBatis启用了预编译功能,在SQL执行前,会先将上面的SQL发送给数据库进行编译;执行时,直接使用编译好的SQL,替换占位符“?”就可以了。因为SQL注入只能对编译过程起作用,所以这样的方式就很好地避免了SQL注入的问题。
【底层实现原理】
MyBatis是如何做到SQL预编译的呢?其实在框架底层,是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行同一个SQL时,能够提高效率。原因是SQL已编译好,再次执行时无需再编译。

话说回来,是否我们使用MyBatis就一定可以防止SQL注入呢?当然不是,请看下面的代码:

    <select id="findRank" parameterType ="String" resultType="String">
        SELECT u.name FROM UserInfo u
            where 1=1
            and u.UserID=${userID} ;   
    </select>

假设userID=1,将SQL打印出来是这样的:

 SELECT u.name FROM UserInfo u where 1=1 and u.UserID=1

假如:
userID=1;drop table UserInfo ;那么sql是这样的

 SELECT u.name FROM UserInfo u where 1=1 and u.UserID=1;drop table UserInfo ;
 测试结果

 SELECT u.name FROM UserInfo u  where 1=1   and u.UserID=1;drop table UserInfo;
### Cause: com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'drop table UserInfo' at line 3
直接报异常,你应该庆幸mybaties做了处理,但是不管怎么说${xxx}是无法阻止SQL注入的。

${xxx}”
缺点: 直接参与SQL编译,不能避免注入攻击。
优点:及到动态表名和列名时,只能使用“${xxx}”这样的参数格式
注意: 这样的参数需要我们在代码中手工进行处理来防止注入。

“#{xxx}“
相当于JDBC中的PreparedStatement
${}:是输出变量的值
优点:#{}是经过预编译的,是安全的;

查看评论

mybatis中的#和$的区别 以及 防止sql注入

声明:这是转载的。 mybatis中的#和$的区别 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成...
  • bruce_sky
  • bruce_sky
  • 2015-05-26 14:08:11
  • 8183

mybatis 3如何防止SQL注入

现在互联网时代,安全一直是一个长久不衰话题,我们经常用到各种各样的架构,模式,但我们最基础的还是要和数据库打交道,数据才是王道,所以,经常有很多盗取数据之人,故对数据的安全尤为重要。 在平常中,最常...
  • wankwan
  • wankwan
  • 2015-10-06 10:27:28
  • 1866

mybatis 防止sql注入的原理

mybatis sql java db
  • zenghb
  • zenghb
  • 2016-03-24 13:41:13
  • 2132

mybatis如何防止SQL注入

  • 2018年01月05日 14:25
  • 67KB
  • 下载

mybatis中#{}与${}的差别(如何防止sql注入)

默认情况下,使用#{}语法,MyBatis会产生PreparedStatement语句中,并且安全的设置PreparedStatement参数,这个过程中MyBatis会进行必要的安全检查和转义。 ...
  • u013417227
  • u013417227
  • 2017-04-24 14:42:09
  • 1767

MyBatis 防止 % _ sql 注入攻击 解决方法

首先说思路,在mybatis中防止sql注入,目前只能在Controller层进行转义,后台sql进行查询,然后在controller层转义回来,返回到前台。 理论上应该可以在dao.xml...
  • RobertTony_Java
  • RobertTony_Java
  • 2016-04-28 10:37:22
  • 3358

MyBatis 模糊查询 防止Sql注入

#{xxx},使用的是PreparedStatement,会有类型转换,所以比较安全; ${xxx},使用字符串拼接,可以SQL注入; like查询不小心会有漏动,正确写法如下: Mysq...
  • pange1991
  • pange1991
  • 2015-08-20 16:54:45
  • 5689

Mybatis like 查询 防止SQL注入方法相关原理和解决方法整理

Mybatis like 查询 防止SQL注入方法相关原理和解决方法整理
  • JavaAlpha
  • JavaAlpha
  • 2016-04-22 09:42:10
  • 5643

mybatis模糊查询如何防止sql注入

在mybatis中,”${xxx}”这样格式的参数会直接参与sql编译,从而不能避免注入攻击。但涉及到动态表名和列名时,只能使用“${xxx}”这样的参数格式,所以,这样的参数需要我们在代码中手工进行...
  • findlymw
  • findlymw
  • 2014-03-21 11:12:25
  • 946

mybatis如何防止sql注入

mybatis如何防止sql注入 sql注入大家都不陌生,是一种常见的攻击方式,攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or ‘1’=’1’”这样的语句,有可能入侵参数校验不足...
  • wangxin1982314
  • wangxin1982314
  • 2016-01-05 13:11:55
  • 1296
    activiti
    activiti学习
    个人资料
    持之以恒
    等级:
    访问量: 19万+
    积分: 6602
    排名: 4510
    博客专栏
    最新评论