MyBatis 防止sql注入 原理

2021-07-31 18:09:05 字數 1850 閱讀 1543

sql注入大家都不陌生,是一種常見的攻擊方式,攻擊者在介面的表單資訊或

url上輸入一些奇怪的

sql片段,例如「

or 『1』

=』1』」這樣的語句,有可能入侵引數校驗不足的應用程式。所以在我們的應用中需要做一些工作,來防備這樣的攻擊方式。在一些安全性很高的應用中,比如銀行軟體,經常使用將

sql語句全部替換為儲存過程這樣的方式,來防止

sql注入,這當然是一種很安全的方式,但我們平時開發中,可能不需要這種死板的方式。

mybatis框架作為一款半自動化的持久層框架,其

sql語句都要我們自己來手動編寫,這個時候當然需要防止

sql注入。其實

mybatis

的sql

是乙個具有「輸入

+輸出」功能,類似於函式的結構,如下: 」

int」

>

select id,title,author,content from blog where id = #

這裡,parametertype標示了輸入的引數型別,

resulttype

標示了輸出的引數型別。回應上文,如果我們想防止

sql注入,理所當然地要在輸入引數上下功夫。上面**中高亮部分即輸入引數在

sql中拼接的部分,傳入引數後,列印出執行的

sql語句,會看到

sql是這樣的:

select id,title,author,content from blog where id = ?

不管輸入什麼引數,列印出的sql都是這樣的。這是

因為mybatis啟用了預編譯功能,在

sql執行前,會先將上面的

sql傳送給資料庫進行編譯,執行時,直接使用編譯好的

sql,替換佔位符「?」就可以了。因為

sql注入只能對編譯過程起作用,所以這樣的方式就很好地避免了

sql注入的問題。

mybatis是如何做到

sql預編譯的呢?其實在框架底層,是

jdbc

中的preparedstatement

類在起作用,

preparedstatement

是我們很熟悉的

statement

的子類,它的物件包含了編譯好的

sql語句。這種「準備好」的方式不僅能提高安全性,而且在多次執行乙個

sql時,能夠提高效率,原因是

sql已編譯好,再次執行時無需再編譯。 一起

jquery,17jquery

話說回來,是否我們使用mybatis就一定可以防止

sql注入呢?當然不是,請看下面的**: 」

map」

>

select id,title,author,content from blog order by $

仔細觀察,內聯引數的格式由「#

」變為了

$。如果我們給引數「

orderparam

」賦值為」id」

,將sql列印出來,是這樣的:

select id,title,author,content from blog order by id

顯然,這樣是無法阻止sql注入的。在

mybatis

中,」$

」這樣格式的引數會直接參與

sql編譯,從而不能避免注入攻擊。但

涉及到動態表名和列名時,只能使用「$

」這樣的引數格式

,所以,這樣的引數需要我們在**中手工進行處理來防止注入。

結論:在編寫mybatis的對映語句時,盡量採用「

#」這樣的格式。若不得不使用「

$」這樣的引數,要手工地做好過濾工作,來防止

sql注入攻擊。

原文:

mybatis防止sql注入

sql注入大家都不陌生,是一種常見的攻擊方式,攻擊者在介面的表單資訊或url上輸入一些奇怪的sql片段,例如 or 1 1 這樣的語句,有可能入侵引數校驗不足的應用程式 所以在我們的應用中需要做一些工作,來防備這樣的攻擊方式。在一些安全 性很高的應用中,比如銀行軟體,經常使用將sql語句全部替換為儲...

mybatis防止sql注入

sql注入大家都不陌生,是一種常見的攻擊方式,攻擊者在介面的表單資訊或url上輸入一些奇怪的sql片段,例如 or 1 1 這樣的語句,有可能入侵引數校驗不足的應用程式。所以在我們的應用中需要做一些工作,來防備這樣的攻擊方式。在一些安全性很高的應用中,比如銀行軟體,經常使用將sql語句全部替換為儲存...

mybatis 防止sql注入

1 和 符號的差異 相當於jdbc中的preparedstatement 相當於jdbc中的statement,使用字串拼接的形式 簡單說,是經過預編譯的,是安全的 是未經過預編譯的,僅僅是取變數的值,是非安全的,存在sql注入。使用時盡量使用 不得已使用 則相應對輸入值進行必要的校驗,防止sql注...