Mybatis中占位符和sql注入

原创 已于 2024-01-05 10:32:28 修改 · 711 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mybatis #sql #数据库 #java #spring

于 2024-01-05 10:30:09 首次发布
该博客围绕MyBatis笔记展开,重点介绍了SQL注入及MyBatis的解决办法。MyBatis通过使用#{}占位符预编译方式解决SQL注入,还给出了预编译和不使用预编译的代码示例,同时说明了不使用预编译时可能出现的SQL注入情况。

Mybaits笔记

有关sql注入和mybatis解决

mybatis使用 #{} 占位符预编译的方式解决sql注入
mysql执行sql语句有四个步骤

缓存部分:sql语法解析->优化sql->编译sql —> 执行sql

在Java往数据库传入数据是如果使用预编译:

预编译代码示例:
select count(* ) from user where username = #{} and password = #{};
在缓存中存的sql语句为:
select count(*) from user where username = ? and password = ?
执行预编译代码只需要向username和password传入参数

不使用预编译:

不适用预编译代码示例:
select count(*) from user where username = ’ ’ and password =’ ';
sql注入:
账号随便填写:admin
密码框写sql语句: ’ or ‘1’ = '1

数据库执行sql语句为 select count(*) from user where username = ’ ’ and password =’ ’ or ‘1’ = '1 ’;

由于 1 = 1 为true所以可以直接登录访问

JavaMonkeys
关注
mybatissql_mybatis解决sql注入
12-22
1. **预编译参数化SQL**:MyBatis支持使用占位符(如`?`)来构建动态SQL,这使得数据库能够识别并正确处理参数,从而防止SQL注入。例如: ```xml SELECT * FROM users WHERE id = #{id} ``` 在这里,`#{id}`...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入。防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
MyBatis占位符与 动态SQL
m0_63600788的博客
08-20 878
​若需要作为 ORDER BY 或 GROUP BY 子句获取参数值使用 $;若需要作为其它子句获取参数值使用 #。MyBatis 的强大特性之一便是它的动态 SQL。如果你有使用 JDBC 或其它类似框架的经验,你就能体会到根据不同条件拼接 SQL 语句的痛苦。例如拼接时要确保不能忘记添加必要的空格,还要注意去掉列表最后一个列名的逗号。利用动态 SQL 这一特性可以彻底摆脱这种痛苦。
Mybatis中的占位符
林中鸟的博客
08-27 2652
mybatis中#{} #{}占位符是为了获取值,获取的值作用在where语句后insert语句后,update语句后, #{}获取值,是根据值得名称取值 a) 参数是基本数据类型,那么在映射的语句中可以不写paramterType,#{}中的参数名也可以随意写 b) 参数是自定义类型,那么必须填paramterType,#{}中的名称是自定义类型的属性名,该属性有对应的get方法。如果没有get方法,那么会根据反射去获取该类型的值,如果找不到,那么ReflectionException异常 c) 参数可以
MyBatis SQL语句占位符
Pole丶逐
02-07 1073
${} 字符串替换,直接将传入的值作为参数拼接到sql上 常见使用:对表名的分组,排序字段的映射 可能会导致SQL注入问题: 就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 #{} MyBatis处理#{ }时,它会将sql中的#{ }替换为?,然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号,将传入的参数变为一个字符串来进行拼接 常见使用:对dao层的where条件映射或参数
消息摘要算法与密码加密
weixin_48206782的博客
09-13 533
首先,对密码进行加密后,再存储,是非常有必要的!并且,主要的防范对象通常是内部员工!需要注意,对密码进行加密处理时,不可以使用加密算法!因为,所有的加密算法都是可以加密,也可以解密的!加密算法的核心价值在于保证数据在传输过程中是安全的,并不保证数据存储的安全!对需要存储的密码进行加密处理时,应该使用消息摘要算法,其本质是一种哈希算法,是不可逆向运算的!消息相同,则摘要相同无论消息长度,摘要的长度是固定的(同一种算法)消息不同,则摘要几乎不会相同。
Mybatis从0到1 SQL注入 参数占位符 XML配置 动态SQL
我亦无他,唯手熟尔
07-10 1417
预编译SQL有两个优势:性能更高更安全(防止SQL注入)性能更高:预编译SQL,编译一次之后会将编译后的SQL语句缓存起来,后面再次执行这条语句时,不会再次编译。(只是输入的参数不同)将敏感字进行转义,保障SQL的安全性。在页面原型中,列表上方的条件是动态的,是可以不传递的,也可以只传递其中的1个或者2个或者全部。而在我们刚才编写的SQL语句中,我们会看到,我们将三个条件直接写死了。如果页面只传递了参数姓名name 字段,其他两个字段 性别 入职时间没有传递,那么这两个参数的值就是null。
MyBatis中的占位符解析机制
qq_42798343的博客
08-27 949
MyBatis处理#{}占位符时,首先会根据 JavaBean 规范查找相应的 getter 方法。如果找不到对应的 getter 方法,它会尝试通过反射直接访问对象的字段值。理解 MyBatis 的这一工作机制,有助于我们编写更加健壮的代码,并避免潜在的属性访问错误。通过遵循 JavaBean 规范(为每个属性提供标准的 getter setter 方法)以及了解 MyBatis 的工作原理,我们可以更有效地利用 MyBatis 的特性,并确保应用程序的稳定性性能。
MyBatis学习】占位符,sql注入问题,like模糊匹配等可能出现一定的问题,赶快与我一同去了解,避免入坑吧 ! ! !
程序员良辰
06-17 3603
MyBatis学习】占位符,sql注入问题,like模糊匹配等可能出现一定的问题,赶快与我一同去了解,避免入坑吧 ! ! !
关于mybatis中#$占位符理解,导致sql语句的条件失效
qq_41300960的博客
05-17 736
sql占位符导致sql语句报错失效的完美解答
MyBatis Plus 居然也要用占位符?逆天!讲讲 MyBatis Plus 占位符的一个运用场景:Exists 语句
wyx1473343124的博客
07-24 1621
最后还有一个提醒:这个业务情境只是我学习过程中遇到的,所运用的并发查库策略不太好,实际情境下一定不要这样高并发查库,个人测试 100请求/s 查库可能导致死锁。本文主要是分享一下 exists 需要的 MyBatis Plus 占位符的运用,如果大家觉得有不需要占位符的方法,欢迎在评论区讨论。一般的思路是,先 select查询订单表,判断是否有该用户对该商品的订单,如果没有订单,说明可以下单,再update更新商品表的stock库存。下图是订单表的三个字段,分别代表订单id,购买人用户id,购买的商品id。
Mybatis的#占位符$占位符的使用方法、区别、适合的使用区域
weixin_45063658的博客
12-20 1423
Mybatis的#占位符$占位符的使用方法、区别、适合的使用区域
Mybatis常见知识点
胥平勇的博客
10-26 652
RowBounds需要传入offsetlimit,该方式会把数据全部查询出来,然后进行处理,将offset之前的数据全部跳过,去除offsetlimit之间的数据,属于逻辑分页。#{}是占位符,是在预编译的时候进行替换成?占位符,执行前才会把参数设置进去,相当于jdbc的PreparedStatement,替换后的变量会自动加上单引号,可以防止sql注入。${}是简单的字符串替换,属于静态文本替换,并且并不是在预处理的时候进行替换,实在编译的时候进行替换,可能会存在sql注入的风险。
C# 防SQL注入SQL参数化
houyanhua1的专栏
12-13 3687
//解决SQL注入漏洞 cmd是SqlCommand对象 cmd.CommandText = @"select count(*) from UserInfo where UserName=@UserName and UserPwd=@UserPwd"; cmd.Parameters.AddWithValue("@UserName",txtUserName.Text); //SQL参数化 cmd
mybatis 解析 xml 配置中 ${xxx} 占位符的代码逻辑_mybatisplus xml 通过占位符数据库获取语句
2401_83974173的博客
04-18 1031
/ 是否启用了默认值,默认为 false,该值取自 variables[‘org.apache.ibatis.parsing.PropertyParser.enable-default-value’]// 默认值分隔符,默认为 ‘:’,该值取自 variables[‘org.apache.ibatis.parsing.PropertyParser.default-value-separator’]// 使用 PropertyParser 解析占位符值。// 若没有找到指定的值,则最终返回配置的原本形式。
[JAVA] (框架) mybatis-plus 语法占位
mia010
05-18 2372
java代码 public List<Entity> selectByNameAndIdCard(String name, String idCard) { return super.selectList(new EntityWrapper<Entity>() .where("name = {0}", name) ...
MyBatissql语句中#$占位符的区别
yicha_i的博客
09-12 954
如下博主的文章介绍的很详细,链接如下,十分感谢! 三生有幸呵呵哒(https://www.cnblogs.com/kangyun/p/5881531.html) 我测试如下: <select id="find1" resultType="Student"> select * from student where name=#{name} </selec...
mybatis占位符的讲解
毕业势必进大厂的博客
11-05 5940
mybatis中,占位符有两个,一个是#,一个是$,这两个有什么区别,我们分别来讲解一下 1. 占位符#{} 语法:#{字符} #占位符告诉mybatis使用实际的参数值代替。并,#{…}代替sql语句的"?"。这样做更安全,更迅速,通常也是首选做法 mapper文件中 <select id="selectStudentById" parameterType="int" resultType="com.lu.entity.Student"> select id, name, email, a
Mybatis配置控制台输出SQL语句填充占位符
linlinlinfeng的博客
03-28 2489
我们使用spring整合mybatis时候,希望根据控制台输出的sql语句来复制到Navicat等工具去测试,配置如下 在mybatis的配置文件mybatis-config.xml中配置 <configuration> <!-- | 全局配置设置 | | 可配置选项 默认值, 描述 | | aggressiveLazy...
8、mybatis占位符#$
最新发布
12-27
### MyBatis 中 `#` `$` 占位符的区别 #### 1. 工作原理差异 在 MyBatis 中,`#` `$` 都是用来在 SQL 语句中插入参数的占位符,但两者的工作原理不同。 对于 `#` 占位符而言,它会将传入的数据都当成字符串来处理,并自动加上单引号。这种方式可以有效防止 SQL 注入攻击[^1]。例如: ```sql SELECT * FROM users WHERE id = #{userId} ``` 而 `$` 占位符则不会对数据做任何特殊处理,而是直接将其作为原生字符串拼接到 SQL 语句中。这意味着如果输入未经严格校验,则可能存在安全风险[^3]。比如: ```sql SELECT * FROM users WHERE username LIKE '%${username}%' ``` #### 2. 应用场景对比 由于上述特性上的差别,这两种占位符适用于不同的场合。 当需要确保安全性并希望让 JDBC 自动处理类型转换时,应该优先考虑使用 `#` 占位符。这通常是在构建查询条件、更新操作等情况下非常适用的选择[^2]。 相反,若确实有必要动态地改变表名或列名等情况(尽管这种情况较为少见),那么此时可以选择使用 `$` 来实现更灵活的功能需求[^4]。不过需要注意的是,在这种情形下务必谨慎对待用户输入的内容,以免引发潜在的安全隐患。 #### 3. 实际应用案例展示 下面通过具体的例子进一步说明两者的区别及其应用场景: ##### 使用 `#` 的情况 假设有一个简单的查询请求,目的是获取指定 ID 的用户信息: ```xml <select id="getUserById" parameterType="int" resultType="User"> SELECT * FROM users WHERE id = #{id}; </select> ``` 这里采用 `#` 方式传递参数,既简单又安全可靠。 ##### 使用 `$` 的情况 再来看另一个复杂一点的例子——分页查询功能实现: ```xml <select id="getUsersByPage" parameterType="map" resultType="User"> SELECT * FROM users LIMIT ${offset},${limit}; </select> ``` 在这个场景里选择了 `${}` 形式的变量替换是因为 MySQL 的 `LIMIT` 子句不允许使用预编译参数形式(`?`)来进行偏移量数量设置;因此只能借助于 `${}` 进行动态注入
评论 3
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值