2. 程式人生 > >mybatis中#{}與${}的差別(如何防止sql注入)

mybatis中#{}與${}的差別(如何防止sql注入)

阿新 發佈:2019-01-27

預設情況下,使用#{}語法,MyBatis會產生PreparedStatement語句中,並且安全的設定PreparedStatement引數,這個過程中MyBatis會進行必要的安全檢查和轉義。

#相當於對資料 加上 雙引號,$相當於直接顯示資料

示例1:
執行SQL:select * from emp where name = #{employeeName}
引數:employeeName=>Smith
解析後執行的SQL:select * from emp where name = ?

示例2:

執行SQL:select * from emp where name = ${employeeName}
引數:employeeName傳入值為:Smith
解析後執行的SQL:Select * from emp where name =Smith

綜上所述、${}方式會引發SQL注入的問題、同時也會影響SQL語句的預編譯,所以從安全性和效能的角度出發,能使用#{}的情況下就不要使用${}

Q:但是${}在什麼情況下使用呢?

A:有時候可能需要直接插入一個不做任何修改的字串到SQL語句中。這時候應該使用${}語法。

  比如,動態SQL中的欄位名,如:ORDER BY ${columnName}

重要:接受從使用者輸出的內容並提供給語句中不變的字串,這樣做是不安全的。這會導致潛在的SQL注入攻擊,因此你不應該允許使用者輸入這些欄位,或者通常自行轉義並檢查。

MyBatis框架作為一款半自動化的持久層框架,其SQL語句都要我們自己手動編寫,這個時候當然需要防止SQL注入

。其實,MyBatis的SQL是一個具有“輸入+輸出”的功能,類似於函式的結構,如下:

<select id="getBlogById" resultType="Blog" parameterType=”int”>
         SELECT id,title,author,content
         FROM blog
         WHERE id=#{id}
</select>

  這裡,parameterType表示了輸入的引數型別,resultType表示了輸出的引數型別。迴應上文,如果我們想防止SQL注入,理所當然地要在輸入引數上下功夫。上面程式碼中黃色高亮即輸入引數在SQL中拼接的部分,傳入引數後,打印出執行的SQL語句,會看到SQL是這樣的:

SELECT id,title,author,content FROM blog WHERE id = ?

  不管輸入什麼引數,打印出的SQL都是這樣的。這是因為MyBatis啟用了預編譯功能,在SQL執行前,會先將上面的SQL傳送給資料庫進行編譯;執行時,直接使用編譯好的SQL,替換佔位符?”就可以了。因為SQL注入只能對編譯過程起作用,所以這樣的方式就很好地避免了SQL注入的問題

  【底層實現原理】MyBatis是如何做到SQL預編譯的呢?其實在框架底層,是JDBC中的PreparedStatement類在起作用,PreparedStatement是我們很熟悉的Statement的子類,它的物件包含了編譯好的SQL語句。這種“準備好”的方式不僅能提高安全性,而且在多次執行同一個SQL時,能夠提高效率原因是SQL已編譯好,再次執行時無需再編譯。

  在MyBatis中,${xxx}這樣格式的引數會直接參與SQL編譯,從而不能避免注入攻擊。但涉及到動態表名和列名時,只能使用${xxx}這樣的引數格式。所以,這樣的引數需要我們在程式碼中手工進行處理來防止注入。

【結論】

在編寫MyBatis的對映語句時,儘量採用#{xxx}這樣的格式。若不得不使用${xxx}這樣的引數,要手工地做好過濾工作,來防止SQL注入攻擊。

#{}:相當於JDBC中的PreparedStatement

${}:是輸出變數的值

簡單說,#{}是經過預編譯的,是安全的${}是未經過預編譯的,僅僅是取變數的值,是非安全的,存在SQL注入。

如果我們order by語句後用了${},那麼不做任何處理的時候是存在SQL注入危險的。你說怎麼防止,那我只能悲慘的告訴你,你得手動處理過濾一下輸入的內容。如判斷一下輸入的引數的長度是否正常(注入語句一般很長)

原理介紹:

myBatis 對於#{} 在boundSql 的時候,會將sql  語句解析成為?;對於${} 則本來的值進行替換。

對於  select * from emp where name = #{employeeName},myBatis 會解析sql為:select * from emp where name = #{employeeName},然後進行prepareStatment 預編譯處理。

對於 select * from emp where name = ${employeeName},myBatis 會解析sql為:select * from emp where name = 'employeeName',然後進行prepareStatment 預編譯處理。

myBatis 其實底層防止sql注入,使用的是prepareStatment語句。表現為#{employeeName}和${employeeName}的兩種引數注入方法。

參考:

相關推薦

MySQL— pymysql模組防止sql注入,視覺化軟體Navicat

一.Pymysql import pymysql #python2.X 中是 mysqldb 和 pythonmysql 用法是一模一樣的 #pymysql可以偽裝成上面這兩個模組 user = input('username: ') pwd = input('passwo

prepareStatement進行增刪改查---填充佔位符防止sql注入

首先建立表 然後構造一個實體類–封裝資料庫欄位 Student package com.godinsec; public class Student { private int id; private String name;

Mybatis框架#{}${}的差別如何防止sql注入

預設情況下,使用#{}語法,MyBatis會產生PreparedStatement語句中,並且安全的設定PreparedStatement引數,這個過程中MyBatis會進行必要的安全檢查和轉義。 #相當於對資料 加上 雙引號,$相當於直接顯示資料 示例1: 執行SQL:select * f

mybatis#{}${}的差別如何防止sql注入

預設情況下,使用#{}語法,MyBatis會產生PreparedStatement語句中,並且安全的設定PreparedStatement引數,這個過程中MyBatis會進行必要的安全檢查和轉義。 #相當於對資料 加上 雙引號,$相當於直接顯示資料 示例1: 執行SQL:s

php學習筆記二十mysqli的stmt的預處理類的使用防止sql注入問題

<?php /** * 處理資料庫的擴充套件庫 * * mysqli的預處理語句 * mysqli_stmt預處理類(推薦使用的類) * 優點:(mysqli和mysqli_result類的相比

asp.net過濾非法字元防止SQL注入

  string UserName = FunStr(Request.Form["UserName"].ToString()); string UserPwd = FunStr(Request.Form["UserPwd"].ToString());  public sta

Asp.netGlobal.asax設定防止Sql注入

using System; using System.IO; public partial class Global : System.Web.HttpApplication { protected void Application_Start(object se

nodejs查詢mysql防止SQL注入

Performing queries The most basic way to perform a query is to call the .query() method on an object (like a Connection, Pool, or PoolNamespace inst

Mybatis防止sql注入原理

     SQL 注入是一種程式碼注入技術,用於攻擊資料驅動的應用,惡意的SQL 語句被插入到執行的實體欄位中(例如,為了轉儲資料庫內容給攻擊者)。[摘自]  SQL注入 - 維基百科SQL注入,大家都不陌生,是一種常見的攻擊方式。攻擊者在介面的表單資訊或UR

MyBatis 排序防止sql注入

MyBatis的排序 引言     最近在專案開發中遇到一個問題,專案中使用的的MyBatis的排序功能被安全部門掃描出了SQL注入安全隱患,檢視安全報告說是有一個介面中存在SQL注入的安全漏洞,檢查後發現是因為該介面中的排序功能使用了的MyBatis中的$ {}。

SQL注入 web開發防止SQL注入

web開發中防止SQL注入   一、SQL注入簡介 SQL注入是比較常見的網路攻擊方式之一,它不是利用作業系統的BUG來實現攻擊,而是針對程式設計師編寫時的疏忽,通過SQL語句,實現無賬號登入,甚至篡改資料庫。 二、SQL注入攻擊的總體思路 1.尋找到SQL

如何在PHP防止SQL注入

  1: 使用PDO物件(對於任何資料庫驅動都好用)2: addslashes用於單位元組字串的處理,3: 多位元組字元用mysql_real_escape_string吧。 另外對於php手冊中get_magic_quotes_gpc的舉例: if (!get_magic_quote

Mybatis 是如何防止SQL注入的?

面試中經常會問到: Mybatis 是如何防止注入的?  首先:SQL是怎樣的注入攻擊的? String sql = String.Format( "SELECT * FROM tablename WHERE username='{0}'", username); &n

mybatis模糊查詢防止sql注入

SQL注入,大家都不陌生,是一種常見的攻擊方式。攻擊者在介面的表單資訊或URL上輸入一些奇怪的SQL片段(例如“or ‘1’=’1’”這樣的語句),有可能入侵引數檢驗不足的應用程式。所以,在我們的應用中需要做一些工作,來防備這樣的攻擊方式。在一些安全性要求很高的應用中(比如銀行軟體),經常使用將SQ

python如何防止sql注入

SQL注入簡介 SQL注入是比較常見的網路攻擊方式之一,它不是利用作業系統的BUG來實現攻擊,而是針對程式設計師程式設計時的疏忽,通過SQL語句,實現無帳號登入,甚至篡改資料庫。sql注入中最常見的就是字串拼接,研發人員對字串拼接應該引起重視。 SQL注入攻擊的

MyBatis防止SQL注入

預設情況下,使用#{}語法,MyBatis會產生PreparedStatement語句中,並且安全的設定PreparedStatement引數,這個過程中MyBatis會進行必要的安全檢查和轉義。 #相當於對資料 加上 雙引號,$相當於直接顯示資料 示例1: 執行SQL:

轉:PHP防止SQL注入的方法

【一、在伺服器端配置】        安全,PHP程式碼編寫是一方面,PHP的配置更是非常關鍵。 我們php手手工安裝的,php的預設配置檔案在 /usr/local/apache2/conf/php.ini,我們最主要

mybatis 防止sql注入

SQL注入是一種程式碼注入技術,用於攻擊資料驅動的應用,惡意的SQL語句被插入到執行的實體欄位中(例如,為了轉儲資料庫內容給攻擊者)。[摘自] SQL injection - Wikipedia SQL注入,大家都不陌生,是一種常見的攻擊方式。攻擊者在介面的表單資訊或URL上輸入一些奇怪的SQL片

Python防止sql注入的方法詳解

SQL注入是比較常見的網路攻擊方式之一,它不是利用作業系統的BUG來實現攻擊,而是針對程式設計師程式設計時的疏忽,通過SQL語句,實現無帳號登入,甚至篡改資料庫。下面這篇文章主要給大家介紹了關於Python中防止sql注入的方法,需要的朋友可以參考下。   前言 大家

遍歷資料庫表ACCESS/SQL SERVER的方法。SQLIN,NOT IN,EXISTS,NOT EXISTS的用法和差別。資料庫的existsin

遍歷資料庫表(ACCESS/SQL SERVER)的方法 以前在網上查詢遍歷SQL資料庫表的方法,可以用 select name from sysobjects where xtype='u' and (not name LIKE 'dtproperties')  來查詢SQL的系