欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

簡單了解Mybatis如何實現(xiàn)SQL防注入

 更新時間:2020年01月07日 09:07:11   作者:蒙娜麗莎法師  
這篇文章主要介紹了簡單了解Mybatis如何實現(xiàn)SQL防注入,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

這篇文章主要介紹了簡單了解Mybatis如何實現(xiàn)SQL防注入,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

Mybatis這個框架在日常開發(fā)中用的很多,比如面試中經常有一個問題:$和#的區(qū)別,它們的區(qū)別是使用#可以防止SQL注入,今天就來看一下它是如何實現(xiàn)SQL注入的。

什么是SQL注入

在討論怎么實現(xiàn)之前,首先了解一下什么是SQL注入,我們有一個簡單的查詢操作:根據(jù)id查詢一個用戶信息。它的sql語句應該是這樣:select * from user where id =。我們根據(jù)傳入條件填入id進行查詢。

如果正常操作,傳入一個正常的id,比如說2,那么這條語句變成select * from user where id =2。這條語句是可以正常運行并且符合我們預期的。

但是如果傳入的參數(shù)變成'' or 1=1,這時這條語句變成select * from user where id = '' or 1=1。讓我們想一下這條語句的執(zhí)行結果會是怎么?它會將我們用戶表中所有的數(shù)據(jù)查詢出來,顯然這是一個大的錯誤。這就是SQL注入。

Mybatis如何防止SQL注入

在開頭講過,可以使用#來防止SQL注入,它的寫法如下:

<select id="safeSelect" resultMap="testUser">
  SELECT * FROM user where id = #{id}
</select>

在mybatis中查詢還有一個寫法是使用$,它的寫法如下:

<select id="unsafeSelect" resultMap="testUser">
  select * from user where id = ${id}
</select>

當我們在外部對這兩個方法繼續(xù)調用時,發(fā)現(xiàn)如果傳入安全的參數(shù)時,兩者結果并無不同,如果傳入不安全的參數(shù)時,第一種使用#的方法查詢不到結果(select * from user where id = '' or 1=1),但這個參數(shù)在第二種也就是$下會得到全部的結果。

并且如果我們將sql進行打印,會發(fā)現(xiàn)添加#時,向數(shù)據(jù)庫執(zhí)行的sql為:select * from user where id = ' \'\' or 1=1 ',它會在我們的參數(shù)外再加一層引號,在使用$時,它的執(zhí)行sql是select * from user where id = '' or 1=1。

棄用$可以嗎

我們使用#也能完成$的作用,并且使用$還有危險,那么我們以后不使用$不就行了嗎。

并不是,它只是在我們這種場景下會有問題,但是在有一些動態(tài)查詢的場景中還是有不可代替的作用的,比如,動態(tài)修改表名select * from ${table} where id = #{id}。我們就可以在返回信息一致的情況下進行動態(tài)的更改查詢的表,這也是mybatis動態(tài)強大的地方。

如何實現(xiàn)SQL注入的,不用Mybatis怎么實現(xiàn)

其實Mybatis也是通過jdbc來進行數(shù)據(jù)庫連接的,如果我們看一下jdbc的使用,就可以得到這個原因。

#使用了PreparedStatement來進行預處理,然后通過set的方式對占位符進行設置,而$則是通過Statement直接進行查詢,當有參數(shù)時直接拼接進行查詢。

所以說我們可以使用jdbc來實現(xiàn)SQL注入。

看一下這兩個的代碼:

public static void statement(Connection connection) {
 System.out.println("statement-----");
 String selectSql = "select * from user";
 // 相當于mybatis中使用$,拿到參數(shù)后直接拼接
 String unsafeSql = "select * from user where id = '' or 1=1;";
 Statement statement = null;
 try {
  statement = connection.createStatement();
 } catch (SQLException e) {
  e.printStackTrace();
 }
 try {
  ResultSet resultSet = statement.executeQuery(selectSql);
  print(resultSet);
 } catch (SQLException e) {
  e.printStackTrace();
 }
 System.out.println("---****---");
 try {
  ResultSet resultSet = statement.executeQuery(unsafeSql);
  print(resultSet);
 } catch (SQLException e) {
  e.printStackTrace();
 }
}

public static void preparedStatement(Connection connection) {
 System.out.println("preparedStatement-----");
 String selectSql = "select * from user;";
 //相當于mybatis中的#,先對要執(zhí)行的sql進行預處理,設置占位符,然后設置參數(shù)
 String safeSql = "select * from user where id =?;";
 PreparedStatement preparedStatement = null;
 try {
  preparedStatement = connection.prepareStatement(selectSql);
  ResultSet resultSet = preparedStatement.executeQuery();
  print(resultSet);
 } catch (SQLException e) {
  e.printStackTrace();
 }
 System.out.println("---****---");
 try {
  preparedStatement = connection.prepareStatement(safeSql);
  preparedStatement.setString(1," '' or 1 = 1 ");
  ResultSet resultSet = preparedStatement.executeQuery();
  print(resultSet);
 } catch (SQLException e) {
  e.printStackTrace();
 }
}

public static void print(ResultSet resultSet) throws SQLException {
 while (resultSet.next()) {
  System.out.print(resultSet.getString(1) + ", ");
  System.out.print(resultSet.getString("name") + ", ");
  System.out.println(resultSet.getString(3));
 }
}

總結

  • Mybatis中使用#可以防止SQL注入,$并不能防止SQL注入
  • Mybatis實現(xiàn)SQL注入的原理是調用了jdbc中的PreparedStatement來進行預處理。

以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支持腳本之家。

相關文章

  • 輕松掌握java外觀模式

    輕松掌握java外觀模式

    這篇文章主要幫助大家輕松掌握java外觀模式,具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2016-09-09
  • java實現(xiàn)折半排序算法

    java實現(xiàn)折半排序算法

    折半插入排序法,又稱二分插入排序法,是直接插入排序法的改良版,也需要執(zhí)行i-1趟插入,不同之處在于,第i趟插入,先找出第i+1個元素應該插入的的位置,假定前i個數(shù)據(jù)是已經處于有序狀態(tài)。
    2015-04-04
  • SpringBoot項目部署到服務器上的方法(Jar包)

    SpringBoot項目部署到服務器上的方法(Jar包)

    這篇文章主要介紹了SpringBoot項目部署到服務器上的方法(Jar包),本文給大家介紹的非常詳細,對大家的學習或工作具有一定的參考借鑒價值,需要的朋友可以參考下
    2021-01-01
  • java繼承中的構造方法實例解析

    java繼承中的構造方法實例解析

    這篇文章主要介紹了java繼承中的構造方法實例解析,針對繼承中的構造方法的特點進行了實例分析,需要的朋友可以參考下
    2014-10-10
  • Java計時新姿勢StopWatch的使用方法詳解

    Java計時新姿勢StopWatch的使用方法詳解

    這篇文章主要給大家介紹了關于Java計時新姿勢StopWatch的相關資料,以及java 中使用StopWatch來計算時間差的方法,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下
    2022-01-01
  • springboot+nginx+https+linux實現(xiàn)負載均衡加域名訪問簡單測試

    springboot+nginx+https+linux實現(xiàn)負載均衡加域名訪問簡單測試

    這篇文章主要介紹了springboot+nginx+https+linux實現(xiàn)負載均衡加域名訪問簡單測試,本文通過實例代碼給大家介紹的非常詳細,具有一定的參考借鑒價值 ,需要的朋友可以參考下
    2019-05-05
  • java實現(xiàn)可安裝的exe程序實例詳解

    java實現(xiàn)可安裝的exe程序實例詳解

    這篇文章主要介紹了java實現(xiàn)可安裝的exe程序實例詳解的相關資料,通過此文希望能幫助到大家,讓大家實現(xiàn)這樣的功能,需要的朋友可以參考下
    2017-10-10
  • JAVA Iterator 轉成 List 的操作

    JAVA Iterator 轉成 List 的操作

    這篇文章主要介紹了JAVA Iterator 轉成 List 的操作,具有很好的參考價值,希望對大家有所幫助。一起跟隨小編過來看看吧
    2020-12-12
  • Mybatis-plus如何更新Null字段詳解

    Mybatis-plus如何更新Null字段詳解

    MyBatis-plus在進行更新操作時不會更新傳入實體中為null或默認值屬性字段,只更新不為null的值、非默認值的屬性字段,這篇文章主要給大家介紹了關于Mybatis-plus如何更新Null字段的相關資料,需要的朋友可以參考下
    2023-07-07
  • java實現(xiàn)可視化日歷

    java實現(xiàn)可視化日歷

    這篇文章主要為大家詳細介紹了java實現(xiàn)可視化日歷,具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2019-09-09

最新評論