MyBatis 如何防止SQL注入 —— 底层原理

最新推荐文章于 2025-05-08 09:57:12 发布
原创 最新推荐文章于 2025-05-08 09:57:12 发布 · 2k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mybatis #SQL注入

一、SQL注入

SQL注入是在Web页面的查询入口传入SQL非法参数,在事先定义好的查询语句的结尾上添加额外的SQL语句,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器执行,威胁数据库数据信息安全。

二、SQL注入方法

由于编写程序时未对用户输入数据的合理性进行判断,导致攻击者能在SQL的注入点中夹杂代码进行执行,并通过页面返回的提示,获取进行下一步攻击所需的信息。根据输入的参数,可将SQL注入方式大致分为两类:数字型注入、字符型注入。

1. 数字型注入

当输入的参数为整型时,如ID、年龄、页码等,如果存在注入漏洞,则可以认为是数字型注入。这种数字型注入最多出现在ASP、PHP等弱类型语言中,弱类型语言会自动推导变量类型,例如,参数id=8,PHP会自动推导变量id的数据类型为int类型,那么id=8 and 1=1,则会推导为string类型,这是弱类型语言的特性。而对于Java、C#这类强类型语言,如果试图把一个字符串转换为int类型,则会抛出异常,无法继续执行。所以,强类型的语言很少存在数字型注入漏洞。

2. 字符型注入

当输入参数为字符串时,称为字符型。数字型与字符型注入最大的区别在于:数字型不需要单引号闭合,而字符串类型一般要使用单引号来闭合。

三、MyBatis如何防止SQL注入

  • “${}”:表示拼接sql串,将接收到的参数的内容不加修饰拼接在sql中,可能引发sql注入。
  • “#{}”是预编译处理,mybatis在处理“#{}”时,它会将sql中的“#{}”替换为占位符“?”,然后调用PreparedStatement的set方法来赋值。
  • “#{}”传入字符串后,会在值的两边加上单引号,使用占位符的方式提高效率,防止sql注入。
1. 防止SQL注入的策略

在UserMapper.xml配置文件中的SQL映射配置:

<select id="findUserByUsername" parameterType="java.lang.String" resultType="cn.com.mybatis.po.User">
	SELECT * FROM user WHERE username=#{username} and password=#{password}
</select>

MyBatis框架作为一款半自动化的持久层框架,其SQL语句都要我们自己手动编写,这个时候当然需要防止SQL注入。上面代码中使用的“#{}”即输入参数在SQL中拼接的部分,传入参数后,打印出执行的SQL语句,会看到SQL是这样的:

select * from user where username=? and password=?

其实,MyBatis的SQL是一个具有“输入+输出”的功能,类似于函数的结。“#{}”实现了传入参数的占位符,其中,parameterType表示了输入的参数类型,resultType表示了输出的参数类型。回应上文,想防止SQL注入,理所当然地要在输入参数上下功夫。即可利用parameterType限制传入参数的类型。

3、防止SQL注入的底层实现原理

在框架底层,是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了预编译好的SQL语句。这种预编译的方式不仅能提高安全性,而且在多次执行同一个SQL时,能够提高效率。原因是SQL已预编译完成,参入参数直接替换预编译完成的SQL语句中的占位符,执行时无需再编译。

MyBatis分页查询原理——如何使用MyBatis的分页插件对分页查询进行优化。
AI天才研究院
07-28 2171
1.1 概述MyBatis 是一款优秀的持久层框架,它支持使用简单的 XML 或注解配置形式来实现对数据库的访问,MyBatis 免除了几乎所有的 JDBC 代码和参数的手工设定, 并用mybatis提供的XML映射文件来代替原始的SQL语句。MyBatis通过控制反转(IoC)和依赖注入(DI)功能完美地实现了ORM框架。2.相关概念分页:分页指将数据分成多块,每一块显示给用户,用户只可以看到自己需要的一部分。分页最主要的目的是为了防止数据量过大导致页面加载缓慢,提高用户体验。
JAVA代码审计——SQL注入靶场审计01
m0_61506558的博客
11-09 821
Statementlike '%${in (${selectupdateinsert(二)SQL Lesson 9前面都是sql注入的介绍,我们直接来看到lesson9,首先请求一下看一下前端请求后端的接口地址.全局进行一个搜索,我们首先来看PostMapping那一个代码可以看到直接进行了SQL语句的拼接我们来打个断点分析一下,可以看到我们输入的内容没有经过任何过滤就直接拼接来进去。
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
mybatis是如何防止SQL注入
热门推荐
义臻的博客
08-11 3万+
SQL注入是一种很简单的攻击手段,但直到今天仍然十分常见。究其原因不外乎:No patch for stupid。为什么这么说,下面就以JAVA为例进行说明: 假设数据库中存在这样的表: table user( id varchar(20) PRIMARY KEY , name varchar(20) , age varchar(20) );   ...
MyBatis-4】MyBatis如何有效防止SQL注入攻击
最新发布
weixin_39033358的博客
05-08 866
MyBatis提供了强大的工具来防止SQL注入,但安全最终取决于开发者的正确使用。遵循#{}优先原则、谨慎使用${}、合理设计数据访问层,才能构建真正安全的应用程序。记住,安全不是一次性的工作,而是需要持续关注的实践过程。“永远不要信任用户输入,始终对动态内容保持警惕。
mybatis防止sql注入原理
foralllove的博客
01-24 1446
1.什么是sql注入 sql注入解释: 是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句去修改数据信息。 例如:"select * from user where id =" + "参数" ,然后有人而已恶意拼接参数 1;delete from user; select * from user where id =1;delete from user;数据库就被恶意修改了。 2.mybaties防止sql注入用法 mybatis提供两种站位符号 #{}和 ${} ${}...
mybatis 防止sql注入原理
Sam997的博客
01-11 1397
mybatis 防止sql注入原理
mybatis防止sql注入
chaoge的it成长之路
12-23 1078
  sql注入大家都不陌生,是一种常见的攻击方式,攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or ‘1’=’1’”这样的语句,有可能入侵参数校验不足的应用程序。所以在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性很高的应用中,比如银行软件,经常使用将sql语句全部替换为存储过程这样的方式,来防止sql注入,这当然是一种很安全的方式,但我们平时开发中,可能不需...
SpringBoot集成MyBatis底层原理及简易实现
叫我小北
04-23 1042
MyBatis是可以说是目前最主流的Spring持久层框架了,本文主要探讨SpringBoot集成MyBatis底层原理。完整代码可移步Github。 如何使用MyBatis# 一般情况下,我们在SpringBoot项目中应该如何集成MyBatis呢? 引入MyBatis依赖 Copy org.mybatis.spring.boot mybatis-spring-boot-starter 2....
MyBatis和Dubbo深度整合——深度分析MyBatis+Dubbo项目架构设计
AI天才研究院
07-28 1232
1.1 Mybatis 是什么?Mybatis 是一款优秀的持久层框架,它支持自定义 SQL、存储过程以及高级映射。Mybatis 避免了几乎所有的 JDBC 代码以及参数处理,非常适合开发人员编写灵活可移植性强的代码,屏蔽了数据库底层实现的差异性。Mybatis 可以直接作用在 XML 配置文件中,将复杂的JDBC操作抽象出来,使数据库相关操作对应用层来说是透明的,并可以定制化地调整性能。1.2 Apache Dubbo 是什么?
如何避免出现SQL注入漏洞
阿里云云栖号
09-09 2378
简介:本文将针对开发过程中依旧经常出现的SQL编码缺陷,讲解其背后原理及形成原因。并以几个常见漏洞存在形式,提醒技术同学注意相关问题。最后会根据原理,提供解决或缓解方案。 作者 | 阿里云安全团队 来源 | 阿里技术公众号 ‍‍‍‍‍‍‍‍ 一 前言 本文将针对开发过程中依旧经常出现的SQL编码缺陷,讲解其背后原理及形成原因。并以几个常见漏洞存在形式,提醒技术同学注意相关问题。最后会根据原理,提供解决或缓解方案。 二 SQL注入漏洞的原理、形成原因 SQL注入漏洞,根本上讲,是由于错把外部输.
mybatis防止sql注入原理
weixin_40773255的博客
05-23 2089
1.什么是sql注入?最早接触sql注入是在大学的时候,其实我理解,就是sql 对传入参数的拼接,会引发安全问题,举个例子select  name from student where id = ();   这里括号里的参数我如果传 “3;drop table student;”,就发生注入了。2.原理,怎么防止?发生sql注入的原因是,不安全的参数拼接,编译后,sql执行,如上例子,会出现问题。...
Mybatis 防止 sql 注入原理
chaoge_dgqb的博客
09-26 397
最近看到 Mybatis 中 # 和 $ 的区别,前者可以防止 sql 注入,但是网上大部分说 # 注入原理是将 where user_name=#{user_name} 中的 user_name加上双引号,但是这显然不对,为此特意去 Google 了一下。 首先看一下 Mybatis 的查询过程: Creating a new SqlSession SqlSession [org.apache.ibatis.session.defaults.DefaultSqlSession@1896ae05] wa
sql注入
sinat_27450377的博客
10-16 562
${}方式无法防止sql注入; $一般用入传入数据库对象,比如数据库表名; 注意:mybaties排序时使用order by 动态参数时需要注意,使用${}而不用#{}; mybatis深入理解之 # 与 $ 区别以及 sql 预编译xxxx:{xxxx}:将传入的数据直接显示生成在sql中,对于字符串数据,需要手动加上引号。 #{xxxx}:会给数据加双引号mybatis 在对 sql 语句进
mybatis 防止sql注入原理
chenlu9606的博客
02-05 208
sql语句的生成有两种方式,一种是手动拼接sql字符串,另一种是使用带占位符的sql预编译,然后填入参数。 mybatis使用的就是预编译的方式,mybatis 在显示sql语句的时候,都会显示出带?的sql语句, 说明mybatis使用了数据库的预编译功能,sql注入只对编译前的sql起作...
mysql防注入原理_简单说说mybatis防止SQL注入原理
weixin_36237278的博客
01-27 244
mybatis是如何防止SQL注入的1、首先看一下下面两个sql语句的区别:select id, username, password, rolefrom userwhere username = #{username,jdbcType=VARCHAR}and password = #{password,jdbcType=VARCHAR}select id, username, password,...
mysql防注入原理_mybatis防止sql注入 原理
weixin_35835018的博客
01-27 217
sql注入大家都不陌生,是一种常见的攻击方式,攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or‘1’=’1’”这样的语句,有可能入侵参数校验不足的应用程序。所以在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性很高的应用中,比如银行软件,经常使用将sql语句全部替换为存储过程这样的方式,来防止sql注入,这当然是一种很安全的方式,但我们平时开发中,可能不需要这种死...
mysql防注入原理_MyBatis如何防止SQL注入
weixin_39743357的博客
02-02 164
MyBatis如何防止SQL注入SQL注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的实体字段中(例如,为了转储数据库内容给攻击者)。[摘自] SQL injection - WikipediaSQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用...
Mybatis防止sql注入原理
任我行哟的博客
11-02 8874
SQL 注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL 语句被插入到执行的实体字段中(例如,为了转储数据库内容给攻击者)。[摘自] SQL注入 - 维基百科SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“或'1'='1'”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些,来防备这...
mybatis底层
03-19
### MyBatis底层实现原理 MyBatis底层实现主要可以划分为以下几个部分:配置解析、动态代理机制以及 JDBC 封装。以下是对其具体实现过程的详细分析: #### 配置解析 (Configuration Parsing) 在 Spring Boot 整合 MyBatis 时,`MybatisAutoConfiguration` 类起到了关键作用。它通过扫描 `@MapperScan` 注解或者默认路径下的 Mapper 接口文件,将其注册为 Bean 定义[^1]。这些 Bean 定义会被存储到容器中的 `BeanDefinitions` 中,从而使得每个 Mapper 接口都能被正确识别并初始化。 ```java @Configuration @ConditionalOnClass({ SqlSessionFactory.class, SqlSessionTemplate.class }) @EnableConfigurationProperties(MybatisProperties.class) public class MybatisAutoConfiguration { @Autowired(required = false) private List<Interceptor> interceptors; public MybatisAutoConfiguration(DataSource dataSource) { this.dataSource = dataSource; } @Bean(name = "sqlSessionFactory") @ConditionalOnMissingBean public SqlSessionFactory sqlSessionFactory() throws Exception { ... } } ``` 上述代码片段展示了如何通过自动配置类完成对 MyBatis 的初始化工作,并将相关组件注入到 Spring 容器中。 --- #### 动态代理机制 (Dynamic Proxy Mechanism) 当一个 Mapper 接口被调用时,实际上返回的是由 MyBatis 创建的一个代理对象。这个代理对象是由 `MapperProxyFactory` 负责生成的。每次调用 Mapper 方法时,都会触发该工厂内的 `getObject()` 方法来创建具体的代理实例[^2]。 ```java public T newInstance(MapperProxy<T> mapperProxy) { return (T) Proxy.newProxyInstance( mapperProxy.getClass().getClassLoader(), new Class[] { mapperInterface }, mapperProxy); } @Override public Object invoke(Object proxy, Method method, Object[] args) throws Throwable { if (Object.class.equals(method.getDeclaringClass())) { try { return method.invoke(this, args); } catch (Throwable t) { throw ExceptionUtil.unwrapThrowable(t); } } return sqlSession.<M>selectOne(mapperMethod.command.getName(), mapperMethod.paramMap); } ``` 以上代码说明了 MyBatis 如何利用 Java 的动态代理功能拦截方法调用,并最终映射至 SQL 执行逻辑上。 --- #### JDBC 封装 (JDBC Encapsulation) 为了简化开发者操作数据库的过程,MyBatis 对标准 JDBC API 进行了一层抽象处理。所有的 CRUD 操作都集中于 `SqlSession` 上面进行管理。这不仅隐藏了许多繁琐细节,还提供了事务支持等功能[^4]。 ```java try(SqlSession session = factory.openSession()) { Blog blog = session.selectOne("org.mybatis.example.BlogMapper.selectBlog", 101); } catch(Exception e){ log.error(e.getMessage()); } ``` 此示例演示了如何借助 `SqlSession` 实现数据查询任务的同时保持资源的安全释放。 --- ### 总结 综上所述,MyBatis底层设计围绕着三大核心模块展开——即 **配置解析**、**动态代理机制** 和 **JDBC 封装**。这种架构既保证了框架本身的灵活性,又极大地降低了使用者的学习成本和技术门槛。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Whitemeen太白

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值