快捷導(dǎo)航

MyBatis中防止SQL注入講解

更新時間：2021年12月03日 10:56:23 作者：積淀

這篇文章主要介紹了MyBatis中防止SQL注入，小編覺得挺不錯的，現(xiàn)在分享給大家，也給大家做個參考。一起跟隨小編過來看看吧

SQL注入是一種代碼注入技術(shù)，用于攻擊數(shù)據(jù)驅(qū)動的應(yīng)用，惡意的SQL語句被插入到執(zhí)行的實體字段中（例如，為了轉(zhuǎn)儲數(shù)據(jù)庫內(nèi)容給攻擊者）。

SQL注入，大家都不陌生，是一種常見的攻擊方式。攻擊者在界面的表單信息或URL上輸入一些奇怪的SQL片段（例如“or ‘1'='1'”這樣的語句），有可能入侵參數(shù)檢驗不足的應(yīng)用程序。所以，在我們的應(yīng)用中需要做一些工作，來防備這樣的攻擊方式。在一些安全性要求很高的應(yīng)用中（比如銀行軟件），經(jīng)常使用將SQL語句全部替換為存儲過程這樣的方式，來防止SQL注入。這當(dāng)然是一種很安全的方式，但我們平時開發(fā)中，可能不需要這種死板的方式。

MyBatis框架作為一款半自動化的持久層框架，其SQL語句都要我們自己手動編寫，這個時候當(dāng)然需要防止SQL注入。其實，MyBatis的SQL是一個具有“輸入+輸出”的功能，類似于函數(shù)的結(jié)構(gòu)，如下：

<select id="getBlogById" resultType="Blog" parameterType=”int”>
         SELECT id,title,author,content
         FROM blog
WHERE id=#{id}
</select>

這里，parameterType表示了輸入的參數(shù)類型，resultType表示了輸出的參數(shù)類型?；貞?yīng)上文，如果我們想防止SQL注入，理所當(dāng)然地要在輸入?yún)?shù)上下功夫。上面代碼中黃色高亮即輸入?yún)?shù)在SQL中拼接的部分，傳入?yún)?shù)后，打印出執(zhí)行的SQL語句，會看到SQL是這樣的：

SELECT id,title,author,content FROM blog WHERE id = ?

不管輸入什么參數(shù)，打印出的SQL都是這樣的。這是因為MyBatis啟用了預(yù)編譯功能，在SQL執(zhí)行前，會先將上面的SQL發(fā)送給數(shù)據(jù)庫進(jìn)行編譯；執(zhí)行時，直接使用編譯好的SQL，替換占位符“?”就可以了。因為SQL注入只能對編譯過程起作用，所以這樣的方式就很好地避免了SQL注入的問題。

【底層實現(xiàn)原理】MyBatis是如何做到SQL預(yù)編譯的呢？其實在框架底層，是JDBC中的PreparedStatement類在起作用，PreparedStatement是我們很熟悉的Statement的子類，它的對象包含了編譯好的SQL語句。這種“準(zhǔn)備好”的方式不僅能提高安全性，而且在多次執(zhí)行同一個SQL時，能夠提高效率。原因是SQL已編譯好，再次執(zhí)行時無需再編譯。

話說回來，是否我們使用MyBatis就一定可以防止SQL注入呢？當(dāng)然不是，請看下面的代碼：

<select id="getBlogById" resultType="Blog" parameterType=”int”>
         SELECT id,title,author,content
         FROM blog
WHERE id=${id}
</select>

仔細(xì)觀察，內(nèi)聯(lián)參數(shù)的格式由“#{xxx}”變?yōu)榱?code>“${xxx}”。如果我們給參數(shù)“id”賦值為“3”，將SQL打印出來是這樣的：

SELECT id,title,author,content FROM blog WHERE id = 3

（上面的對比示例是我自己添加的，為了與前面的示例形成鮮明的對比。）

<select id="orderBlog" resultType="Blog" parameterType=”map”>
         SELECT id,title,author,content
         FROM blog
ORDER BY ${orderParam}
</select>

仔細(xì)觀察，內(nèi)聯(lián)參數(shù)的格式由“#{xxx}”變?yōu)榱?code>“${xxx}”。如果我們給參數(shù)“orderParam”賦值為“id”，將SQL打印出來是這樣的：

SELECT id,title,author,content FROM blog ORDER BY id

顯然，這樣是無法阻止SQL注入的。在MyBatis中，“${xxx}”這樣格式的參數(shù)會直接參與SQL編譯，從而不能避免注入攻擊。但涉及到動態(tài)表名和列名時，只能使用“${xxx}”這樣的參數(shù)格式。所以，這樣的參數(shù)需要我們在代碼中手工進(jìn)行處理來防止注入。

【結(jié)論】在編寫MyBatis的映射語句時，盡量采用“#{xxx}”這樣的格式。若不得不使用“${xxx}”這樣的參數(shù)，要手工地做好過濾工作，來防止SQL注入攻擊。

#{}：相當(dāng)于JDBC中的PreparedStatement

${}：是輸出變量的值

簡單說，#{}是經(jīng)過預(yù)編譯的，是安全的；${}是未經(jīng)過預(yù)編譯的，僅僅是取變量的值，是非安全的，存在SQL注入。

如果我們order by語句后用了${}，那么不做任何處理的時候是存在SQL注入危險的。你說怎么防止，那我只能悲慘的告訴你，你得手動處理過濾一下輸入的內(nèi)容。如判斷一下輸入的參數(shù)的長度是否正常（注入語句一般很長），更精確的過濾則可以查詢一下輸入的參數(shù)是否在預(yù)期的參數(shù)集合中。

到此這篇關(guān)于MyBatis中防止SQL注入的文章就介紹到這了。希望對大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章: