浅谈mybatis中的#和$的区别 以及防止sql注入的方法

2019-10-19 07:53 来源:未知

select * from user; delete user; -- where name = ?;

二、Mybatis3.0防止SQL注入

  一、SQL中#与$符号的区别

    

    #相当于对数据 加上 双引号,$相当于直接显示数据

 

    1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的                sql为order by "id".
  
    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为order by user_id,  如果传入的值是id,则解析成的sql为order by id.
  
    3. #方式能够很大程度防止sql注入。
  
    4.$方式无法防止Sql注入。

    5.$方式一般用于传入数据库对象,例如传入表名.
  
    6.一般能用#的就别用$.

    MyBatis排序时使用order by 动态参数时需要注意,用$而不是#

    字符串替换
      默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改                    变的字符串。比如,像 ORDER BY,你可以这样来使用:
      ORDER BY ${columnName}
      这里MyBatis不会修改或转义字符串。

    重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。

 

  二、Mybatis3.0中使用like进行模糊查询,防止SQL注入攻击

 

    #{xxx},使用的是PreparedStatement,会有类型转换,所以比较安全;

    ${xxx},使用字符串拼接,可以SQL注入;

    like查询不小心会有漏动,正确写法如下:

    Mysql: select * from t_user where name like concat('%', #{name}, '%')      

    Oracle: select * from t_user where name like '%' || #{name} || '%'      

    SQLServer: select * from t_user where name like '%' #{name} '%'

 

例子

(2)正则表达式,字符串过滤。

一、什么是SQL注入

引用搜狗百科:

  SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。SQL注入攻击是黑客对数据库进行攻击的常用手段之一。
  所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。

防止Sql注入

(5)$方式一般用于传入数据库对象,例如传入表名。(这里得注意SQL注入问题

在编写mybatis的映射语句时,尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止sql注入攻击。

(4)使用正则表达式过滤传入的参数。

以上就是小编为大家带来的浅谈mybatis中的#和$的区别 以及防止sql注入的方法全部内容了,希望大家多多支持脚本之家~

总结区别:#{} 传入值时,sql解析时,参数是带引号的,而${}穿入值,sql解析时,参数是不带引号的。

5.$方式一般用于传入数据库对象,例如传入表名.
  
6.一般能用#的就别用$.

 

1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".   

举个例子:

您可能感兴趣的文章:

  • Mybatis防止sql注入的实例
  • java持久层框架mybatis防止sql注入的方法
  • mybatis防止SQL注入的方法实例详解

(3)#方式在很大程度上能够防止sql注入。

if (!StringUtil.isEmpty(this.companyName)) {  
  table.setCompanyName("%"   this.companyName   "%");  
} 

(5)JSP中调用该函数检查是否包函非法字符或JSP页面判断代码。JSP参考JSP使用过滤器防止SQL注入

mybatis中的#和$的区别

首先,永远不要相信用户的输入。

注意:SQL语句不要写成select * from t_stu where s_name like '%$name$%',这样极易受到注入攻击。

   user; delete user; --

<sql id="condition_where">  
  <isNotEmpty property="companyName" prepend=" and ">  
    t1.company_name like #companyName#  
  </isNotEmpty>  
</sql> 

 

”${xxx}”这样格式的参数会直接参与sql编译,从而不能避免注入攻击。但涉及到动态表名和列名时,只能使用“${xxx}”这样的参数格式。

(1)#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是id,则解析成的sql为order by "id"。

java代码和你原来的差不多,其实也没什么不好,你要觉得麻烦 把判断null和'%'封装到一个方法里就可以了

但是表名用参数传递进来的时候,只能使用 ${} 。这也提醒在这种用法中要小心sql注入的问题。

  1. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为order by user_id,  如果传入的值是id,则解析成的sql为order by id.   
  2. #方式能够很大程度防止sql注入。
      
    4.$方式无法防止Sql注入。

--之后的语句被注释掉,而原本查询用户的语句变成了查询所有用户信息 删除用户表的语句,会对数据库造成致命损伤。

(3)参数绑定PreparedStatement。

ps:在使用mybatis中还遇到<![CDATA[]]>的用法,在该符号内的语句,将不会被当成字符串来处理,而是直接当成sql语句,比如要执行一个存储过程。

  则动态解析之后 sql 如下:

在这个例子中,如果表名为

select * from ${table_Name} where name = #{name}

区别:

 

防止SQL注入方法:

(1)不使用SQL,考虑NoSQL。

 

(6)一般能用#的就别用$。

(2)$将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是id,则解析成的sql为order by id。

(4)$方式无法防止sql注入。

TAG标签: Mybatis
版权声明:本文由彩民之家高手论坛发布于彩民之家高手论坛,转载请注明出处:浅谈mybatis中的#和$的区别 以及防止sql注入的方法