碼上快樂

相關內容    簡體    繁體

mybatis中#{}與${}的差別(如何防止sql注入)

本文轉載自   查看原文   2016-11-16 22:24   2976 

默認情況下,使用#{}語法,MyBatis會產生PreparedStatement語句中,並且安全的設置PreparedStatement參數,這個過程中MyBatis會進行必要的安全檢查和轉義。

#相當於對數據 加上 雙引號,$相當於直接顯示數據

示例1:
執行SQL:select * from emp where name = #{employeeName}
參數:employeeName=>Smith
解析后執行的SQL:select * from emp where name = ?

示例2:

執行SQL:select * from emp where name = ${employeeName}
參數:employeeName傳入值為:Smith
解析后執行的SQL:Select * from emp where name =Smith

 

綜上所述、${}方式會引發SQL注入的問題、同時也會影響SQL語句的預編譯,所以從安全性和性能的角度出發,能使用#{}的情況下就不要使用${}

Q:但是${}在什么情況下使用呢?

A:有時候可能需要直接插入一個不做任何修改的字符串到SQL語句中。這時候應該使用${}語法。

  比如,動態SQL中的字段名,如:ORDER BY ${columnName}

 

重要:接受從用戶輸出的內容並提供給語句中不變的字符串,這樣做是不安全的。這會導致潛在的SQL注入攻擊,因此你不應該允許用戶輸入這些字段,或者通常自行轉義並檢查。

 

MyBatis框架作為一款半自動化的持久層框架,其SQL語句都要我們自己手動編寫,這個時候當然需要防止SQL注入。其實,MyBatis的SQL是一個具有“輸入+輸出”的功能,類似於函數的結構,如下:

<select id="getBlogById" resultType="Blog" parameterType=”int”>
         SELECT id,title,author,content
         FROM blog
         WHERE id=#{id}
</select>

  這里,parameterType表示了輸入的參數類型,resultType表示了輸出的參數類型。回應上文,如果我們想防止SQL注入,理所當然地要在輸入參數上下功夫。上面代碼中黃色高亮即輸入參數在SQL中拼接的部分,傳入參數后,打印出執行的SQL語句,會看到SQL是這樣的:

SELECT id,title,author,content FROM blog WHERE id = ?

  不管輸入什么參數,打印出的SQL都是這樣的。這是因為MyBatis啟用了預編譯功能,在SQL執行前,會先將上面的SQL發送給數據庫進行編譯;執行時,直接使用編譯好的SQL,替換占位符?”就可以了。因為SQL注入只能對編譯過程起作用,所以這樣的方式就很好地避免了SQL注入的問題

  【底層實現原理】MyBatis是如何做到SQL預編譯的呢?其實在框架底層,是JDBC中的PreparedStatement類在起作用,PreparedStatement是我們很熟悉的Statement的子類,它的對象包含了編譯好的SQL語句。這種“准備好”的方式不僅能提高安全性,而且在多次執行同一個SQL時,能夠提高效率原因是SQL已編譯好,再次執行時無需再編譯。

 

  

  在MyBatis中,${xxx}這樣格式的參數會直接參與SQL編譯,從而不能避免注入攻擊。但涉及到動態表名和列名時,只能使用${xxx}這樣的參數格式。所以,這樣的參數需要我們在代碼中手工進行處理來防止注入。

【結論】

在編寫MyBatis的映射語句時,盡量采用#{xxx}這樣的格式。若不得不使用${xxx}這樣的參數,要手工地做好過濾工作,來防止SQL注入攻擊。

#{}:相當於JDBC中的PreparedStatement

${}:是輸出變量的值

簡單說,#{}是經過預編譯的,是安全的${}是未經過預編譯的,僅僅是取變量的值,是非安全的,存在SQL注入。

如果我們order by語句后用了${},那么不做任何處理的時候是存在SQL注入危險的。你說怎么防止,那我只能悲慘的告訴你,你得手動處理過濾一下輸入的內容。如判斷一下輸入的參數的長度是否正常(注入語句一般很長)

 

 

原理介紹:

myBatis 對於#{} 在boundSql 的時候,會將sql  語句解析成為?;對於${} 則本來的值進行替換。

對於  select * from emp where name = #{employeeName},myBatis 會解析sql為:select * from emp where name = #{employeeName},然后進行prepareStatment 預編譯處理。

對於 select * from emp where name = ${employeeName},myBatis 會解析sql為:select * from emp where name = 'employeeName',然后進行prepareStatment 預編譯處理。

myBatis 其實底層防止sql注入,使用的是prepareStatment語句。表現為#{employeeName}和${employeeName}的兩種參數注入方法。

 

 

 

 

參考:

http://blog.csdn.net/szwangdf/article/details/26714603

http://www.myexception.cn/sql/1938757.html

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 什么是SQL注入以及mybatis中#{}為什么能防止SQL注入而${}為什么不能防止SQL注入 什么是SQL注入以及mybatis中#{}為什么能防止SQL注入而${}為什么不能防止SQL注入 MyBatis如何防止SQL注入 mybatis是如何防止SQL注入的 MyBatis如何防止SQL注入 mybatis是如何防止SQL注入的 mybatis 防止sql注入 mybatis是如何防止sql注入? MyBatis如何防止SQL注入 MyBatis怎么防止SQL注入
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM