Mybatis3.0防止SQL注入

一、什么是SQL注入

引用搜狗百科：

　　SQL注入，就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令，比如很多影視網站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字符暴出的，這類表單特別容易受到SQL注入式攻擊。SQL注入攻擊是黑客對數據庫進行攻擊的常用手段之一。
　　所謂SQL注入式攻擊，就是攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的查詢字符串，欺騙服務器執行惡意的SQL命令。在某些表單中，用戶輸入的內容直接用來構造（或者影響）動態SQL命令，或作為存儲過程的輸入參數，這類表單特別容易受到SQL注入式攻擊。

二、Mybatis3.0防止SQL注入

　　一、SQL中#與$符號的區別

　　　　

　　　　#相當於對數據 加上 雙引號，$相當於直接顯示數據

 

　　　　1. #將傳入的數據都當成一個字符串，會對自動傳入的數據加一個雙引號。如：order by #user_id#，如果傳入的值是111,那么解析成sql時的值為order by "111", 如果傳入的值是id，則解析成的                sql為order by "id".
　　
　　　　2. $將傳入的數據直接顯示生成在sql中。如：order by $user_id$，如果傳入的值是111,那么解析成sql時的值為order by user_id,  如果傳入的值是id，則解析成的sql為order by id.
　　
　　　　3. #方式能夠很大程度防止sql注入。
　　
　　　　4.$方式無法防止Sql注入。

　　　　5.$方式一般用於傳入數據庫對象，例如傳入表名.
　　
　　　　6.一般能用#的就別用$.


　　　　MyBatis排序時使用order by 動態參數時需要注意，用$而不是#


　　　　字符串替換
　　　　　　默認情況下，使用#{}格式的語法會導致MyBatis創建預處理語句屬性並以它為背景設置安全的值（比如?）。這樣做很安全，很迅速也是首選做法，有時你只是想直接在SQL語句中插入一個不改                    變的字符串。比如，像 ORDER BY，你可以這樣來使用：
　　　　　　ORDER BY ${columnName}
　　　　　　這里MyBatis不會修改或轉義字符串。

　　　　重要：接受從用戶輸出的內容並提供給語句中不變的字符串，這樣做是不安全的。這會導致潛在的SQL注入攻擊，因此你不應該允許用戶輸入這些字段，或者通常自行轉義並檢查。

 

　　二、Mybatis3.0中使用like進行模糊查詢，防止SQL注入攻擊

 

　　　　#{xxx}，使用的是PreparedStatement，會有類型轉換，所以比較安全；

　　　　${xxx}，使用字符串拼接，可以SQL注入；

　　　　like查詢不小心會有漏動，正確寫法如下：

　　　　Mysql: select * from t_user where name like concat('%', #{name}, '%')      

　　　　Oracle: select * from t_user where name like '%' || #{name} || '%'      

　　　　SQLServer: select * from t_user where name like '%' + #{name} + '%'