MyBatis中sql注入

已于 2023-12-23 21:04:30 修改
阅读量824 收藏 7
点赞数 6
文章标签: mybatis sql java
于 2023-12-19 21:48:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_62965575/article/details/135095098
版权
博客主要探讨了MyBatis中${}和#{}的区别,涉及SQL注入、底层实现、JDBC类型转换和单个简单类型参数等方面。${}不防止SQL注入,使用Statement,不进行类型转换;#{}可防止SQL注入,使用PreparedStatement,会进行类型转换。结论是除模糊匹配外,应杜绝使用${}。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.在接口中写方法
User testLogin(User userInfo);

2.在配置文件中写sql
<select id="testLogin"  parameterType="com.by.pojo.User"  resultType="com.by.pojo.User">
    select  * from user where username='${username}' and password='${password}'
</select>

3.在测试类进行测试
private InputStream inputStream;
    private SqlSession sqlSession;
    @Before
    public void before() throws IOException {
        String rescource = "mybatis-config.xml";
        //加载配置文件
        inputStream =Resources.getResourceAsStream(rescource);
        //创建sqlSessionFactory
        SqlSessionFactory sqlSessionFactory=new SqlSessionFactoryBuilder().build(inputStream);
        //获得数据的会话实例
         sqlSession=sqlSessionFactory.openSession();
    }
/**
     * sql注入
     * @throws IOException
     */
    @Test
    public void testLogin()throws IOException {
        UserDao userDao = sqlSession.getMapper(UserDao.class);
        User userInfo=new User();
        userInfo.setUsername("张三丰");
        userInfo.setPassword("111");
        User  user = userDao.testLogin(userInfo);
        System.out.println(user);
    }

 @After
    public void close() throws IOException {
        /**
         * 关闭资源
         */
        sqlSession.close();
        inputStream.close();
    }

 运行结果

1.在接口中写方法
User testLogin(User userInfo);

2.在配置文件中写sql
<select id="testLogin"  parameterType="com.by.pojo.User"  resultType="com.by.pojo.User">
    select  * from user where username='${username}' and password='${password}'
</select>

3.在测试类进行测试
private InputStream inputStream;
    private SqlSession sqlSession;
    @Before
    public void before() throws IOException {
        String rescource = "mybatis-config.xml";
        //加载配置文件
        inputStream =Resources.getResourceAsStream(rescource);
        //创建sqlSessionFactory
        SqlSessionFactory sqlSessionFactory=new SqlSessionFactoryBuilder().build(inputStream);
        //获得数据的会话实例
         sqlSession=sqlSessionFactory.openSession();
    }
/**
     * sql注入
     * @throws IOException
     */
    @Test
        public void testLogin()throws IOException {
        UserDao userDao = sqlSession.getMapper(UserDao.class);
        User userInfo=new User();
        userInfo.setUsername("张三丰 ' #");
        userInfo.setPassword("123");
        User  user = userDao.testLogin(userInfo);
        System.out.println(user);
    }

 @After
    public void close() throws IOException {
        /**
         * 关闭资源
         */
        sqlSession.close();
        inputStream.close();
    }

运行结果

1.在接口中写方法
User testLogin(User userInfo);

2.在配置文件中写sql
 <select id="testLogin"  parameterType="com.by.pojo.User"  resultType="com.by.pojo.User">
        select  * from user where username=#{username} and password=#{password}
</select>

3.在测试类进行测试
private InputStream inputStream;
    private SqlSession sqlSession;
    @Before
    public void before() throws IOException {
        String rescource = "mybatis-config.xml";
        //加载配置文件
        inputStream =Resources.getResourceAsStream(rescource);
        //创建sqlSessionFactory
        SqlSessionFactory sqlSessionFactory=new SqlSessionFactoryBuilder().build(inputStream);
        //获得数据的会话实例
         sqlSession=sqlSessionFactory.openSession();
    }
/**
     * sql注入
     * @throws IOException
     */
    @Test
        public void testLogin()throws IOException {
        UserDao userDao = sqlSession.getMapper(UserDao.class);
        User userInfo=new User();
        userInfo.setUsername("张三丰");
        userInfo.setPassword("111");
        User  user = userDao.testLogin(userInfo);
        System.out.println(user);
    }

 @After
    public void close() throws IOException {
        /**
         * 关闭资源
         */
        sqlSession.close();
        inputStream.close();
    }

 运行结果

 

1.在接口中写方法
User testLogin(User userInfo);

2.在配置文件中写sql
 <select id="testLogin"  parameterType="com.by.pojo.User"  resultType="com.by.pojo.User">
        select  * from user where username=#{username} and password=#{password}
</select>

3.在测试类进行测试
private InputStream inputStream;
    private SqlSession sqlSession;
    @Before
    public void before() throws IOException {
        String rescource = "mybatis-config.xml";
        //加载配置文件
        inputStream =Resources.getResourceAsStream(rescource);
        //创建sqlSessionFactory
        SqlSessionFactory sqlSessionFactory=new SqlSessionFactoryBuilder().build(inputStream);
        //获得数据的会话实例
         sqlSession=sqlSessionFactory.openSession();
    }
/**
     * sql注入
     * @throws IOException
     */
    @Test
        public void testLogin()throws IOException {
        UserDao userDao = sqlSession.getMapper(UserDao.class);
        User userInfo=new User();
        userInfo.setUsername("张三丰 ' #");
        userInfo.setPassword("123");
        User  user = userDao.testLogin(userInfo);
        System.out.println(user);
    }

 @After
    public void close() throws IOException {
        /**
         * 关闭资源
         */
        sqlSession.close();
        inputStream.close();
    }

运行结果 

${}和#{}的区别
              sql注入          底层             jdbc类型转换        单个简单类型的参数
    $         不防止          Statement            不转换                 value
    #          防止        preparedStatement        转换                  任意

    结论:除模糊匹配外,杜绝使用${}
 

执 、
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值