mybatis 防止 sql 注入 和 mybatis 的预编译

最新推荐文章于 2025-06-29 10:00:00 发布
最新推荐文章于 2025-06-29 10:00:00 发布
阅读量1.4k 收藏 1
点赞数
文章标签: mybatis 防止sql注入
本文介绍如何在MyBatis中预防SQL注入攻击,通过使用预编译SQL语句来增强应用程序的安全性。
    sql注入大家都不陌生,是一种常见的攻击方式,攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or ‘1’=’1’”这样的语句,有可能入侵参数校验不足的应用程序。所以在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性很高的应用中,比如银行软件,经常使用将sql语句全部替换为存储过程这样的方式,来防止sql注入,这当然是一种很安全的方式,但我们平时开发中,可能不需要这种死板的方式。
mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入。其实Mybatis的sql是一个具有“输入+输出”功能,类似于函数的结构,如下:

1
2
3
4
<select id=“getBlogById“ resultType=“Blog“ parameterType=”int”><br>
       select id,title,author,content from blog where id=#{id}
 
</select>

    这里,parameterType标示了输入的参数类型,resultType标示了输出的参数类型。回应上文,如果我们想防止sql注入,理所当然地要在输入参数上下功夫。上面代码中高亮部分即输入参数在sql中拼接的部分,传入参数后,打印出执行的sql语句,会看到sql是这样的:
select id,title,author,content from blog where id = ?
    不管输入什么参数,打印出的sql都是这样的。这是因为mybatis启用了预编译功能,在sql执行前,会先将上面的sql发送给数据库进行编译,执行时,直接使用编译好的sql,替换占位符“?”就可以了。因为sql注入只能对编译过程起作用,所以这样的方式就很好地避免了sql注入的问题。
    mybatis是如何做到sql预编译的呢?其实在框架底层,是jdbc中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的sql语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行一个sql时,能够提高效率,原因是sql已编译好,再次执行时无需再编译。
话说回来,是否我们使用mybatis就一定可以防止sql注入呢?当然不是,请看下面的代码: 

1
2
3
4
5
<select id=“orderBlog“ resultType=“Blog“ parameterType=”map”>
 
       select id,title,author,content from blog order by ${orderParam}
 
</select>

仔细观察,内联参数的格式由“#{xxx}”变为了${xxx}。如果我们给参数“orderParam”赋值为”id”,将sql打印出来,是这样的:
select id,title,author,content from blog order by id
    显然,这样是无法阻止sql注入的。在mybatis中,”${xxx}”这样格式的参数会直接参与sql编译,从而不能避免注入攻击。但涉及到动态表名和列名时,只能使用“${xxx}”这样的参数格式,所以,这样的参数需要我们在代码中手工进行处理来防止注入。
结论:在编写mybatis的映射语句时,尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止sql注入攻击。
参考原文:http://www.cnblogs.com/sunada2005/p/4739312.html
MyBatis动态表名或动态排序直接使用${}而引发SQL注入安全漏洞的修复解决方案
eguid音视频技术分享(JavaCV教程、FFmpeg教程、openCV图像处理教程、音视频教程)
07-20 3311
MyBatis能用#{}尽量用#{},而本文主要解决必须要用${ }的情况下,如何解决${}导致的SQL注入安全漏洞修复。
MyBatis 预编译 SQL
xycxycooo的博客
07-23 1329
MyBatis 是一个优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。预编译 SQLMyBatis 的一个重要特性,它可以提高 SQL 执行的效率,并且可以防止 SQL 注入攻击。预编译 SQL 的主要思想是将 SQL 语句参数分开处理。MyBatis 会将 SQL 语句预编译成一个 PreparedStatement 对象,然后将参数绑定到这个对象上。这样可以避免每次执行 SQL 时都进行编译,从而提高执行效率。
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
mybatis动态SQL防止SQL注入
热门推荐
daydayupzzc的专栏
07-03 1万+
IvrNodeTreeMapper.java如下:package com.example.springbootannotationmybatis.mapper; import com.example.springbootannotationmybatis.domain.IvrNodeTree; import com.example.springbootannotationmybatis.sql...
Mybatis如何防止sql注入
tschen的博客
06-29 1097
{}直接拼接字符串到 SQL 中(如 ORDER BY ${column} ),若参数来自用户输入,可能注入恶意代码。参数值通过setXxx()方法独立传递,数据库将其视为纯数据而非可执行代码,自动转义特殊字符(如单引号' → \')。原理:MyBatis 底层使用 JDBC 的PreparedStatement,将 SQL 语句与参数分离。管控业务层校验,可构建稳固的 SQL 注入防护体系。在业务层校验参数格式(如长度、字符集),拒绝非法输入。存储过程内部拼接 SQL 未转义。,确保参数值安全转义。
【转】mybatis如何防止sql注入
weixin_33910460的博客
08-18 487
sql注入大家都不陌生,是一种常见的攻击方式,攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or ‘1’=’1’”这样的语句,有可能入侵参数校验不足的应用程序。所以在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性很高的应用中,比如银行软件,经常使用将sql语句全部替换为存储过程这样的方式,来防止sql注入,这当然是一种很安全的方式,但我们平时开发中,可能不需要这种...
MyBatis防止sql注入
qq_37634156的博客
04-07 9335
前言 关于sql注入的解释这里不再赘述。 在MyBatis防止sql注入主要分为两种: 第一种就是MyBatis提供了两种支持动态 sql 的语法 #{} ${},其中${} 是简单的字符串替换,而 #{}在预处理时,会把参数部分用一个占位符 ? 代替,可以有效的防止sql注入,面试的时候经常会问到,这里也不再详细赘述; 第二种是排序防止sql注入,实现方案如下 SQL注入过滤器 以下是sql注入过滤器,当判断出是非法字符时则抛出到自定义的异常类B...
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 通过使用预编译语句存储过程来防止 SQL 注入攻击。例如,在 mapper 文件中可以使用预编译语句来防止 SQL 注入: ```xml SELECT name FROM user where id = #{userId} ``` 在对应的 Java 文件中,可以...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
java持久层框架mybatis防止sql注入的方法
09-01
总结来说,MyBatis通过预编译的PreparedStatement有效地防止了大部分SQL注入攻击,但开发者仍需谨慎对待`${}`的使用,并在必要时进行额外的输入验证过滤,以确保应用的安全性。在编写MyBatis的映射语句时,优先...
Mybatis防止SQL注入
Jc0803kevin的专栏
07-13 2285
防止SQL注入的中心思想就是参数化查询,将输入当作参数传递,而不是直接拼接到 SQL 语句中。常见的防止SQL注入的方式1、#{}2、3、[配置 SQL 注入过滤器](#配置 SQL 注入过滤器)
Mybatis防止sql注入
qq_35909080的博客
01-10 577
案例分析 SQL注入,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性要求很高的应用中(比如银行软件),经常使用将SQL语句全部替换为存储过程这样的方式,来防止SQL注入。这当然是一种很安全的方式,但我们平时开发中,可能...
mybatis防止sql注入
u012406790的专栏
09-15 706
1、#{}${}的区别: (1)#{} select id,name from user where id=#{id} 打印的sql语句为: select id,name from user where id=? (2)${} select id,name from user where id=${id} 如果id值为8,打印的语句为: select id,nam
Mybatis 防止SQL注入
在路上
09-25 457
转载于http://blog.sina.com.cn/s/blog_667ac0360102vl85.html 好文连接#{xxx},使用的是PreparedStatement,会有类型转换,所以比较安全;${xxx},使用字符串拼接,可以SQL注入; like查询不小心会有漏动,正确写法如下: Mysql: select * from t_user where name like concat
mysql 动态表名_如何使用动态表名防止SQL注入
weixin_39827589的博客
02-07 1931
如何使用动态表名防止SQL注入?我这次讨论的名声很高PHP盖伊:PDO在这里没用。以及MySQL_REAL_EXECH_String。质量极差。这当然很酷,但我真的不知道建议使用mysql_real_escape_string或PDO修复此代码:varlayer;window.location.href="example3.php?layer="+layer;...
mybatis是如何防止SQL注入
weixin_30312563的博客
02-01 293
mybatis是如何防止SQL注入的 1、首先看一下下面两个sql语句的区别: <select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap"> select id, username, password, role from user where u...
mybatis如何防止SQL注入
蜻蜓队长
09-11 1403
*** sql注入发生的时间,sql注入发生的阶段在sql预编译阶段,当编译完成的sql不会产生sql注入 一、采用jdbc操作数据时候 String sql = "update ft_proposal set id = "+id; PreparedStatement prepareStatement = conn.prepareStatement(sql); prepareStatement.executeUpdate(); preparedStatement 预编译对象
mybatis 防止 sql 注入
最新发布
08-14
### MyBatis防止 SQL 注入的方法 MyBatis 是一个流行的持久层框架,它通过预编译机制参数绑定来有效防止 SQL 注入攻击。SQL 注入是一种常见的安全漏洞,攻击者可以通过恶意输入篡改 SQL 语句,从而获取或修改数据库中的敏感数据。为了防止这种情况的发生,MyBatis 提供了多种安全机制。 #### 使用 `#{}` 占位符 在 MyBatis 中,最常用且推荐的方式来防止 SQL 注入是使用 `#{}` 占位符。当使用 `#{}` 时,MyBatis 会将 SQL 语句中的占位符替换为问号 `?`,然后通过 `PreparedStatement` 的 `set` 方法将参数绑定到 SQL 语句中。这种方式确保了输入参数不会被解析为 SQL 命令,而是作为纯字符串处理,从而避免了 SQL 注入的风险。例如: ```xml <select id="selectUserById" parameterType="int" resultType="User"> SELECT * FROM user WHERE id = #{id} </select> ``` 在这个例子中,`#{id}` 会被替换为 `?`,然后通过 `PreparedStatement` 设置参数值,确保了即使传入的 `id` 包含恶意输入,也不会影响 SQL 语句的结构[^2]。 #### 避免使用 `${}` 进行字符串拼接 虽然 MyBatis 也支持使用 `${}` 进行字符串拼接,但这会带来 SQL 注入的风险。因为 `${}` 会在 SQL 语句中直接替换为传入的参数值,而不会进行任何转义或预编译处理。因此,在编写 SQL 语句时,应尽量避免使用 `${}`,尤其是在处理用户输入的参数时。例如,以下代码存在 SQL 注入风险: ```xml <select id="selectUserByName" parameterType="string" resultType="User"> SELECT * FROM user WHERE name = '${name}' </select> ``` 如果用户输入的 `name` 是 `" OR "1"="1`,那么最终的 SQL 语句将会变成 `SELECT * FROM user WHERE name = "" OR "1"="1"`,这会导致查询返回所有用户的记录。为了避免这种情况,应该使用 `#{}` 替代 `${}`[^3]。 #### 使用动态 SQL 标签 MyBatis 还提供了动态 SQL 标签,如 `<if>`、`<choose>`、`<when>` 等,这些标签可以帮助开发者根据不同的条件生成不同的 SQL 语句。动态 SQL 标签在处理参数时也会自动进行安全处理,确保参数不会被解析为 SQL 命令。例如: ```xml <select id="selectUsers" parameterType="map" resultType="User"> SELECT * FROM user <where> <if test="id != null"> AND id = #{id} </if> <if test="name != null"> AND name = #{name} </if> </where> </select> ``` 在这个例子中,`<if>` 标签会根据传入的参数是否存在来决定是否包含相应的条件。即使传入的参数包含恶意输入,也不会影响 SQL 语句的结构,从而避免了 SQL 注入的风险[^3]。 #### 预编译机制 MyBatis 内部采用了 JDBC 的 `PreparedStatement` 来实现预编译机制。预编译是指在 SQL 语句执行之前,数据库会对 SQL 语句进行语法分析,并生成执行计划。对于占位符 `?`,数据库会将其视为参数占位符,而不是 SQL 命令的一部分。因此,无论传入的参数是什么,都不会影响 SQL 语句的结构。这种机制不仅能够有效防止 SQL 注入,还能提高 SQL 语句的执行效率,特别是在多次执行相同的 SQL 语句时,预编译可以减少重复的语法分析编译过程[^2]。 #### 参数绑定 除了预编译机制外,MyBatis 还通过参数绑定来进一步增强安全性。参数绑定是指将输入参数与 SQL 语句中的占位符进行绑定,确保参数不会被解析为 SQL 命令。MyBatis 支持多种类型的参数绑定,包括基本类型、对象、Map 等。无论传入的参数是什么类型,MyBatis 都会将其作为字符串处理,从而避免了 SQL 注入的风险[^4]。 ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值