mybatis如何防止SQL注入?

开发
sql注入发生的时间,sql注入发生的阶段在sql预编译阶段,当编译完成的sql不会产生sql注入

 

[[344248]]

 一、采用jdbc操作数据时候

  1. String sql = "update ft_proposal set id = "+id; 
  2.         PreparedStatement prepareStatement = conn.prepareStatement(sql); 
  3.         prepareStatement.executeUpdate(); 

preparedStatement 预编译对象会对传入sql进行预编译,那么当传入id 字符串为 "update ft_proposal set id = 3;drop table ft_proposal;" 这种情况下就会导致sql注入删除ft_proposal这张表。

如何防止sql注入,首先将要执行sql进行预编译,然后在将占位符进行替换

  1. String sql = "update ft_proposal set id = ?" 
  2. PreparedStatement ps = conn.preparedStatement(sql); 
  3. ps.setString(1,"2"); 
  4. ps.executeUpdate(); 

处理使用预编译语句之外,另一种实现方式可以采用存储过程,存储过程其实也是预编译的,存储过程是sql语句的集合,将所有预编译的sql 语句编译完成后,存储在数据库上,

由于存储过程比较死板一般不采用这种方式进行处理。

二、mybatis是如何处理sql注入的?

假设mapper.xml文件中sql查询语句为:

  1. <select id="findById" resultType="String"
  2.     select name from user where id = #{userid}; 
  3. </select

对应的接口为:

  1. public String findById(@param("userId")String userId); 

当传入的参数为3;drop table user; 当我们执行时可以看见打印的sql语句为:

select name from usre where id = ?;

不管输入何种参数时,都可以防止sql注入,因为mybatis底层实现了预编译,底层通过prepareStatement预编译实现类对当前传入的sql进行了预编译,这样就可以防止sql注入了。

如果将查询语句改写为:

  1. <select id="findById" resultType = "String"
  2. select name from user where id=${userid} 
  3. </select

当输入参数为3;drop table user; 执行sql语句为

  1. select name from user where id = 3;drop table user ; 

mybatis没有进行预编译语句,它先进行了字符串拼接,然后进行了预编译。这个过程就是sql注入生效的过程。

因此在编写mybatis的映射语句时,尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止sql注入攻击。

 

责任编辑:姜华 来源: 今日头条
相关推荐

2020-08-07 08:13:08

SQL攻击模式

2009-03-14 16:50:38

网站安全meter程序

2010-10-22 15:18:18

SQL注入漏洞

2009-02-04 16:51:48

2009-07-24 16:59:57

iBatis模糊查询

2013-01-05 13:49:00

2009-03-10 08:05:19

2014-05-26 09:32:15

2011-12-30 11:04:14

2013-04-26 11:26:00

2017-03-01 14:16:20

2013-01-15 10:53:36

2023-08-01 08:00:00

SQLWeb应用安全

2013-01-16 14:29:22

2023-03-10 19:36:47

2019-02-22 09:00:00

2021-09-16 09:05:45

SQL注入漏洞网络攻击

2009-11-12 14:56:47

2010-12-20 16:04:30

2020-10-10 10:10:07

安全漏洞技术
点赞
收藏

51CTO技术栈公众号