MyBatis如何防止SQL注入

2021-08-11 01:58:43 字數 1815 閱讀 8357

sql注入是一種**注入技術,用於攻擊資料驅動的應用,惡意的sql語句被插入到執行的實體欄位中

sql注入,是一種常見的攻擊方式。攻擊者在介面的表單資訊或url上輸入一些奇怪的sql片段(例如「or 『1』=』1』」這樣的語句),有可能入侵引數檢驗不足的應用程式。所以,在我們的應用中需要做一些工作,來防備這樣的攻擊方式。在一些安全性要求很高的應用中(比如銀行軟體),經常使用將sql語句全部替換為儲存過程這樣的方式,來防止sql注入。這當然是一種很安全的方式,但我們平時開發中,可能不需要這種死板的方式。

mybatis框架作為一款半自動化的持久層框架,其sql語句都要我們自己手動編寫,這個時候當然需要防止sql注入。其實,mybatis的sql是乙個具有「輸入+輸出」的功能,類似於函式的結構,如下:

select id,title,author,content

from blog

where id=#

parametertype表示了輸入的引數型別,resulttype表示了輸出的引數型別。如果我們想防止sql注入,理所當然地要在輸入引數上下功夫。id=#:輸入引數在sql中拼接的部分,傳入引數後,列印出執行的sql語句,會看到sql是這樣的:

select id,title,author,content from blog where id = ?

mybatis啟用了預編譯功能,在sql執行前,會先將上面的sql傳送給資料庫進行編譯;執行時,直接使用編譯好的sql,替換佔位符「?」就可以了。因為sql注入只能對編譯過程起作用,所以這樣的方式就很好地避免了sql注入的問題。

【底層實現原理】mybatis是如何做到sql預編譯的呢?其實在框架底層,是jdbc中的preparedstatement類在起作用,preparedstatement是我們很熟悉的statement的子類,它的物件包含了編譯好的sql語句。這種「準備好」的方式不僅能提高安全性,而且在多次執行同乙個sql時,能夠提高效率。原因是sql已編譯好,再次執行時無需再編譯。

是否我們使用mybatis就一定可以防止sql注入呢?當然不是,請看下面的**:

select id,title,author,content

from blog

where id=$

內聯引數的格式由「#」變為了「$」。如果我們給引數「id」賦值為「3」,將sql列印出來是這樣的:

select id,title,author,content from blog where id = 3

select id,title,author,content

from blog

order by $

內聯引數的格式由「#」變為了「$」。如果我們給引數「orderparam」賦值為「id」,將sql將原樣列印:

select id,title,author,content from blog order by id
這樣是無法阻止sql注入的。在mybatis中,「$」這樣格式的引數會直接參與sql編譯,從而不能避免注入攻擊。但涉及到動態表名和列名時,只能使用「$」這樣的引數格式。所以,這樣的引數需要我們在**中手工進行處理來防止注入。

盡量採用「#」這樣的格式。若不得不使用「$」引數,做好過濾工作,來防止sql注入攻擊。

#{}:相當於jdbc中的preparedstatement

${}:是輸出變數的值

#{}是經過預編譯的,是安全的;${}是未經過預編譯的,僅僅是取變數的值,是非安全的,存在sql注入。

mybatis以及預編譯如何防止SQL注入

sql注入是一種 注入技術,用於攻擊資料驅動的應用,惡意的sql語句被插入到執行的實體欄位中 例如,為了轉儲資料庫內容給攻擊者 摘自 sql injection wikipedia sql注入,大家都不陌生,是一種常見的攻擊方式。攻擊者在介面的表單資訊或url上輸入一些奇怪的sql片段 例如 or ...

mybatis如何防止sql注入

ql注入大家都不陌生,是一種常見的攻擊方式,攻擊者在介面的表單資訊或url上輸入一些奇怪的sql片段,例如 or 1 1 這樣的語句,有可能入侵引數校驗不足的應用程式。所以在我們的應用中需要做一些工作,來防備這樣的攻擊方式。在一些安全性很高的應用中,比如銀行軟體,經常使用將sql語句全部替換為儲存過...

mybatis如何防止sql注入

sql注入 是一種 注入技術,用於攻擊資料驅動的應用,惡意的sql語句被插入到執行的實體欄位中 例如,為了轉儲資料庫內容給攻擊者 摘自 sql injection wikipedia sql注入,大家都不陌生,是一種常見的攻擊方式。攻擊者在介面的表單資訊或url上輸入一些奇怪的sql片段 例如 or...