简单了解Mybatis如何实现SQL防注入

这篇文章主要介绍了简单了解Mybatis如何实现SQL防注入,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下

Mybatis这个框架在日常开发中用的很多，比如面试中经常有一个问题：$和#的区别，它们的区别是使用#可以防止SQL注入，今天就来看一下它是如何实现SQL注入的。

什么是SQL注入

在讨论怎么实现之前，首先了解一下什么是SQL注入，我们有一个简单的查询操作：根据id查询一个用户信息。它的sql语句应该是这样：select * from user where id =。我们根据传入条件填入id进行查询。

如果正常操作，传入一个正常的id，比如说2，那么这条语句变成select * from user where id =2。这条语句是可以正常运行并且符合我们预期的。

但是如果传入的参数变成'' or 1=1，这时这条语句变成select * from user where id = '' or 1=1。让我们想一下这条语句的执行结果会是怎么？它会将我们用户表中所有的数据查询出来，显然这是一个大的错误。这就是SQL注入。

Mybatis如何防止SQL注入

在开头讲过，可以使用#来防止SQL注入，它的写法如下：

  SELECT * FROM user where id = #{id}

在mybatis中查询还有一个写法是使用$，它的写法如下：

  select * from user where id = ${id}


当我们在外部对这两个方法继续调用时，发现如果传入安全的参数时，两者结果并无不同，如果传入不安全的参数时，第一种使用#的方法查询不到结果(select * from user where id = '' or 1=1)，但这个参数在第二种也就是$下会得到全部的结果。
并且如果我们将sql进行打印，会发现添加#时，向数据库执行的sql为:select * from user where id = ' '' or 1=1 '，它会在我们的参数外再加一层引号，在使用$时，它的执行sql是select * from user where id = '' or 1=1。
弃用$可以吗


我们使用#也能完成$的作用，并且使用$还有危险，那么我们以后不使用$不就行了吗。
并不是，它只是在我们这种场景下会有问题，但是在有一些动态查询的场景中还是有不可代替的作用的，比如，动态修改表名select * from ${table} where id = #{id}。我们就可以在返回信息一致的情况下进行动态的更改查询的表，这也是mybatis动态强大的地方。
如何实现SQL注入的，不用Mybatis怎么实现


其实Mybatis也是通过jdbc来进行数据库连接的，如果我们看一下jdbc的使用，就可以得到这个原因。
#使用了PreparedStatement来进行预处理，然后通过set的方式对占位符进行设置，而$则是通过Statement直接进行查询，当有参数时直接拼接进行查询。
所以说我们可以使用jdbc来实现SQL注入。
看一下这两个的代码:

public static void statement(Connection connection) {
 System.out.println("statement-----");
 String selectSql = "select * from user";
 // 相当于mybatis中使用$，拿到参数后直接拼接
 String unsafeSql = "select * from user where id = '' or 1=1;";
 Statement statement = null;
 try {
  statement = connection.createStatement();
 } catch (SQLException e) {
  e.printStackTrace();
 }
 try {
  ResultSet resultSet = statement.executeQuery(selectSql);
  print(resultSet);
 } catch (SQLException e) {
  e.printStackTrace();
 }
 System.out.println("---****---");
 try {
  ResultSet resultSet = statement.executeQuery(unsafeSql);
  print(resultSet);
 } catch (SQLException e) {
  e.printStackTrace();
 }
}

public static void preparedStatement(Connection connection) {
 System.out.println("preparedStatement-----");
 String selectSql = "select * from user;";
 //相当于mybatis中的#，先对要执行的sql进行预处理，设置占位符，然后设置参数
 String safeSql = "select * from user where id =?;";
 PreparedStatement preparedStatement = null;
 try {
  preparedStatement = connection.prepareStatement(selectSql);
  ResultSet resultSet = preparedStatement.executeQuery();
  print(resultSet);
 } catch (SQLException e) {
  e.printStackTrace();
 }
 System.out.println("---****---");
 try {
  preparedStatement = connection.prepareStatement(safeSql);
  preparedStatement.setString(1," '' or 1 = 1 ");
  ResultSet resultSet = preparedStatement.executeQuery();
  print(resultSet);
 } catch (SQLException e) {
  e.printStackTrace();
 }
}

public static void print(ResultSet resultSet) throws SQLException {
 while (resultSet.next()) {
  System.out.print(resultSet.getString(1) + ", ");
  System.out.print(resultSet.getString("name") + ", ");
  System.out.println(resultSet.getString(3));
 }
}

总结

  
Mybatis中使用#可以防止SQL注入，$并不能防止SQL注入
  
Mybatis实现SQL注入的原理是调用了jdbc中的PreparedStatement来进行预处理。

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持考高分网。



转载请注明：文章转载自 www.mshxw.com
本文地址：https://www.mshxw.com/it/135539.html


   上一篇  Java switch case数据类型原理解析
 
   下一篇  springboot实现多实例crontab抢占定时任务(实例代码)
  






Java相关栏目本月热门文章

  
1【Linux驱动开发】设备树详解（二）设备树语法详解
  
2别跟客户扯细节
  
3Springboot+RabbitMQ+ACK机制(生产方确认(全局、局部)、消费方确认)、知识盲区
  
4【Java】对象处理流（ObjectOutputStream和ObjectInputStream）
  
5【分页】常见两种SpringBoot项目中分页技巧
  
6一文带你搞懂OAuth2.0
  
7我要写整个中文互联网界最牛逼的JVM系列教程 | 「JVM与Java体系架构」章节：虚拟机与Java虚拟机介绍
  
8【Spring Cloud】新闻头条微服务项目：FreeMarker模板引擎实现文章静态页面生成
  
9JavaSE - 封装、static成员和内部类
  
10树莓派mjpg-streamer实现监控及拍照功能调试
  
11用c++写一个蓝屏代码
  
12从JDK8源码中看ArrayList和LinkedList的区别
  
13idea 1、报错java: 找不到符号 符号: 变量 log 2、转换成Maven项目
  
14在openwrt使用C语言增加ubus接口（包含C uci操作）
  
15Spring 解决循环依赖
  
16SpringMVC——基于MVC架构的Spring框架
  
17Andy‘s First Dictionary C++ STL set应用
  
18动态内存管理
  
19我的创作纪念日
  
20Docker自定义镜像-Dockerfile







热门相关搜索



路由器设置
木托盘
宝塔面板
儿童python教程
心情低落
朋友圈
vim
双一流学科
专升本
我的学校
日记学校
西点培训学校
汽修学校
情书
化妆学校
塔沟武校
异形模板
西南大学排名
最精辟人生短句
6步教你追回被骗的钱
南昌大学排名
清朝十二帝
北京印刷学院排名
北方工业大学排名
北京航空航天大学排名
首都经济贸易大学排名
中国传媒大学排名
首都师范大学排名
中国地质大学(北京)排名
北京信息科技大学排名
中央民族大学排名
北京舞蹈学院排名
北京电影学院排名
中国戏曲学院排名
河北政法职业学院排名
河北经贸大学排名
天津中德应用技术大学排名
天津医学高等专科学校排名
天津美术学院排名
天津音乐学院排名
天津工业大学排名
北京工业大学耿丹学院排名
北京警察学院排名
天津科技大学排名
北京邮电大学(宏福校区)排名
北京网络职业学院排名
北京大学医学部排名
河北科技大学排名
河北地质大学排名
河北体育学院排名







学习工具
代数计算器
三角函数
解析几何
立体几何


知识解答
教育知识
百科知识
生活知识
常识知识


写作必备
作文大全
作文素材
句子大全

实用范文


关于我们
关于我们
联系我们
网站地图


 
名师互学网交流群


名师互学网客服





名师互学网 版权所有 (c)2021-2022      ICP备案号：晋ICP备2021003244-6号
 






关于我们
文章归档
网站地图
联系我们
版权所有 (c)2021-2022 MSHXW.COM
ICP备案号：晋ICP备2021003244-6号