1 #是將傳入的值當做字串的形式,eg:select id,name,age from student where id =#,當前端把id值1,傳入到後台的時候,就相當於 select id,name,age from student where id ='1'.
2 $是將傳入的資料直接顯示生成sql語句,eg:select id,name,age from student where id =$,當前端把id值1,傳入到後台的時候,就相當於 select id,name,age from student where id = 1.
3 使用#可以很大程度上防止sql注入。(語句的拼接)
4 但是如果使用在order by 中就需要使用 $.
5 在大多數情況下還是經常使用#,但在不同情況下必須使用$.
我覺得#與的區別最大在於:#{} 傳入值時,sql解析時,引數是帶引號的,而
'>的區別最大在於:#{} 傳入值時,sql解析時,引數是帶引號的,而的區別最大在於:#{} 傳入值時,sql解析時,引數是帶引號的,而${}穿入值,sql解析時,引數是不帶引號的。
在討論怎麼實現之前,首先了解一下什麼是sql注入,我們有乙個簡單的查詢操作:根據id查詢乙個使用者資訊。它的sql語句應該是這樣:select * from user where id =。我們根據傳入條件填入id進行查詢。
如果正常操作,傳入乙個正常的id,比如說2,那麼這條語句變成select * from user where id =2。這條語句是可以正常執行並且符合我們預期的。
但是如果傳入的引數變成'' or 1=1,這時這條語句變成select * from user where id = '' or 1=1。讓我們想一下這條語句的執行結果會是怎麼?它會將我們使用者表中所有的資料查詢出來,顯然這是乙個大的錯誤。這就是sql注入。
在開頭講過,可以使用#來防止sql注入,它的寫法如下:
select * from user where id =#
在mybatis中查詢還有乙個寫法是使用$,它的寫法如下:
select * from user where id =$
當我們在外部對這兩個方法繼續呼叫時,發現如果傳入安全的引數時,兩者結果並無不同,如果傳入不安全的引數時,第一種使用#的方法查詢不到結果(select * from user where id = '' or 1=1),但這個引數在第二種也就是$下會得到全部的結果。
並且如果我們將sql進行列印,會發現新增#時,向資料庫執行的sql為:select * from user where id = ' \'\' or 1=1 ',它會在我們的引數外再加一層引號,在使用$時,它的執行sql是select * from user where id = '' or 1=1。
我們使用#也能完成$的作用,並且使用$還有危險,那麼我們以後不使用$不就行了嗎。
並不是,它只是在我們這種場景下會有問題,但是在有一些動態查詢的場景中還是有不可代替的作用的,比如,動態修改表名select * from $ where id = #。我們就可以在返回資訊一致的情況下進行動態的更改查詢的表,這也是mybatis動態強大的地方。
其實mybatis也是通過jdbc來進行資料庫連線的,如果我們看一下jdbc的使用,就可以得到這個原因。
#使用了preparedstatement來進行預處理,然後通過set的方式對佔位符進行設定,而$則是通過statement直接進行查詢,當有引數時直接拼接進行查詢。
所以說我們可以使用jdbc來實現sql注入。
看一下這兩個的**:
publicstatic
void
statement(connection connection)
catch
(sqlexception e)
trycatch
(sqlexception e)
system.out.println("---****---");
trycatch
(sqlexception e)
}
publicstatic
void
preparedstatement(connection connection)
catch
(sqlexception e)
system.out.println("---****---");
trycatch
(sqlexception e)
}public
static
void print(resultset resultset) throws
sqlexception
}
在討論怎麼實現之前,首先了解一下什麼是sql注入,我們有乙個簡單的查詢操作:根據id查詢乙個使用者資訊。它的sql語句應該是這樣:select * from user where id =。我們根據傳入條件填入id進行查詢。
如果正常操作,傳入乙個正常的id,比如說2,那麼這條語句變成select * from user where id =2。這條語句是可以正常執行並且符合我們預期的。
但是如果傳入的引數變成'' or 1=1,這時這條語句變成select * from user where id = '' or 1=1。讓我們想一下這條語句的執行結果會是怎麼?它會將我們使用者表中所有的資料查詢出來,顯然這是乙個大的錯誤。這就是sql注入。
在開頭講過,可以使用#來防止sql注入,它的寫法如下:
select * from user where id =#
在mybatis中查詢還有乙個寫法是使用$,它的寫法如下:
select * from user where id =$
當我們在外部對這兩個方法繼續呼叫時,發現如果傳入安全的引數時,兩者結果並無不同,如果傳入不安全的引數時,第一種使用#的方法查詢不到結果(select * from user where id = '' or 1=1),但這個引數在第二種也就是$下會得到全部的結果。
並且如果我們將sql進行列印,會發現新增#時,向資料庫執行的sql為:select * from user where id = ' \'\' or 1=1 ',它會在我們的引數外再加一層引號,在使用$時,它的執行sql是select * from user where id = '' or 1=1。
我們使用#也能完成$的作用,並且使用$還有危險,那麼我們以後不使用$不就行了嗎。
並不是,它只是在我們這種場景下會有問題,但是在有一些動態查詢的場景中還是有不可代替的作用的,比如,動態修改表名select * from $ where id = #。我們就可以在返回資訊一致的情況下進行動態的更改查詢的表,這也是mybatis動態強大的地方。
其實mybatis也是通過jdbc來進行資料庫連線的,如果我們看一下jdbc的使用,就可以得到這個原因。
#使用了preparedstatement來進行預處理,然後通過set的方式對佔位符進行設定,而$則是通過statement直接進行查詢,當有引數時直接拼接進行查詢。
所以說我們可以使用jdbc來實現sql注入。
看一下這兩個的**:
publicstatic
void
statement(connection connection)
catch
(sqlexception e)
trycatch
(sqlexception e)
system.out.println("---****---");
trycatch
(sqlexception e)
}
publicstatic
void
preparedstatement(connection connection)
catch
(sqlexception e)
system.out.println("---****---");
trycatch
(sqlexception e)
}public
static
void print(resultset resultset) throws
sqlexception
}
mybatis如何防止sql注入
ql注入大家都不陌生,是一種常見的攻擊方式,攻擊者在介面的表單資訊或url上輸入一些奇怪的sql片段,例如 or 1 1 這樣的語句,有可能入侵引數校驗不足的應用程式。所以在我們的應用中需要做一些工作,來防備這樣的攻擊方式。在一些安全性很高的應用中,比如銀行軟體,經常使用將sql語句全部替換為儲存過...
mybatis如何防止sql注入
sql注入 是一種 注入技術,用於攻擊資料驅動的應用,惡意的sql語句被插入到執行的實體欄位中 例如,為了轉儲資料庫內容給攻擊者 摘自 sql injection wikipedia sql注入,大家都不陌生,是一種常見的攻擊方式。攻擊者在介面的表單資訊或url上輸入一些奇怪的sql片段 例如 or...
mybatis如何防止sql注入
sql注入大家都不陌生,是一種常見的攻擊方式,攻擊者在介面的表單資訊或url上輸入一些奇怪的sql片段,例如 or 1 1 這樣的語句,有可能入侵引數校驗不足的應用程式。所以在我們的應用中需要做一些工作,來防備這樣的攻擊方式。在一些安全性很高的應用中,比如銀行軟體,經常使用將sql語句全部替換為儲存...