MyBatis如何防止SQL注入

最新推荐文章于 2025-03-21 20:52:12 发布
原创 最新推荐文章于 2025-03-21 20:52:12 发布 · 322 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mybatis

本文探讨了MyBatis框架如何通过预编译SQL语句防止SQL注入,并介绍了使用#{}

MyBatis框架作为一款半自动化的持久层框架,其SQL语句都要我们自己手动编写,这个时候当然需要防止SQL注入。其实,MyBatis的SQL是一个具有“输入+输出”的功能,类似于函数的结构,如下:

这里,parameterType表示了输入的参数类型,resultType表示了输出的参数类型。回应上文,如果我们想防止SQL注入,理所当然地要在输入参数上下功夫。上面代码中黄色高亮即输入参数在SQL中拼接的部分,传入参数后,打印出执行的SQL语句,会看到SQL是这样的:

SELECT id,title,author,content FROM blog WHERE id = ?

不管输入什么参数,打印出的SQL都是这样的。这是因为MyBatis启用了预编译功能,在SQL执行前,会先将上面的SQL发送给数据库进行编译;执行时,直接使用编译好的SQL,替换占位符“?”就可以了。因为SQL注入只能对编译过程起作用,所以这样的方式就很好地避免了SQL注入的问题。

【底层实现原理】MyBatis是如何做到SQL预编译的呢?其实在框架底层,是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行同一个SQL时,能够提高效率。原因是SQL已编译好,再次执行时无需再编译。

话说回来,是否我们使用MyBatis就一定可以防止SQL注入呢?当然不是,请看下面的代码:

<select id="getBlogById" resultType="Blog" parameterType=”int”>

         SELECT id,title,author,content

         FROM blog

WHERE id=${id}

</select>

仔细观察,内联参数的格式由“#{xxx}”变为了“${xxx}”。如果我们给参数“id”赋值为“3”,将SQL打印出来是这样的:

SELECT id,title,author,content FROM blog WHERE id = 3

(上面的对比示例是我自己添加的,为了与前面的示例形成鲜明的对比。)

<select id="orderBlog" resultType="Blog" parameterType=”map”>

         SELECT id,title,author,content

         FROM blog

ORDER BY ${orderParam}

</select>

仔细观察,内联参数的格式由“#{xxx}”变为了“${xxx}”。如果我们给参数“orderParam”赋值为“id”,将SQL打印出来是这样的:

SELECT id,title,author,content FROM blog ORDER BY id

显然,这样是无法阻止SQL注入的。在MyBatis中,“${xxx}”这样格式的参数会直接参与SQL编译,从而不能避免注入攻击。但涉及到动态表名和列名时,只能使用“${xxx}”这样的参数格式。所以,这样的参数需要我们在代码中手工进行处理来防止注入。

【结论】在编写MyBatis的映射语句时,尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止SQL注入攻击。

#{}:相当于JDBC中的PreparedStatement

${}:是输出变量的值

简单说,#{}是经过预编译的,是安全的${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。

如果我们order by语句后用了${},那么不做任何处理的时候是存在SQL注入危险的。你说怎么防止,那我只能悲惨的告诉你,你得手动处理过滤一下输入的内容。如判断一下输入的参数的长度是否正常(注入语句一般很长),更精确的过滤则可以查询一下输入的参数是否在预期的参数集合中。

<select id="getBlogById" resultType="Blog" parameterType=”int”>

         SELECT id,title,author,content

         FROM blog

WHERE id=#{id}

</select>

34. MyBatis如何处理SQL注入问题?有哪些防范措施?
zhzjn的博客
09-14 2723
SQL注入是一个严重的安全问题,攻击者通过恶意构造的输入,改变SQL查询的意图,进而访问、修改、甚至删除数据库中的数据。MyBatis 提供了多种机制来防止SQL注入,下面介绍如何在MyBatis中处理SQL注入问题以及常见的防范措施。占位符,因为它会直接将用户输入的内容嵌入到SQL中,容易导致SQL注入。通过这些措施,开发者可以构建更安全的应用,避免SQL注入带来的潜在风险。这样,MyBatis使用JDBC的预编译特性,自动对参数进行转义,避免了SQL注入的风险。占位符是防止SQL注入的最有效方法之一。
MyBatisPlus中全局Sql注入器应用_逻辑删除使用示例代码
04-27
MyBatisPlus中全局Sql注入器应用_逻辑删除使用示例代码
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
[安全] MyBatis如何防止SQL注入
简放视野的专栏
06-06 466
如果我们order by语句后用了${},那么不做任何处理的时候是存在SQL注入危险的。你说怎么防止,那我只能悲惨的告诉你,你得手动处理过滤一下输入的内容。如判断一下输入的参数的长度是否正常(注入语句一般很长),类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象。所以,在我们的应用中需要做一些工作,来防备这样的攻击方式。{xxx}”这样的参数,要手工地做好过滤工作,来防止SQL注入攻击。(上面的对比示例是我自己添加的,为了与前面的示例形成鲜明的对比。
Mybatis防止sql注入原理
任我行哟的博客
11-02 8912
SQL 注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL 语句被插入到执行的实体字段中(例如,为了转储数据库内容给攻击者)。[摘自] SQL注入 - 维基百科SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“或'1'='1'”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些,来防备这...
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
java持久层框架mybatis防止sql注入的方法
09-01
MyBatis提供了多种机制来防止SQL注入,其中最常用且有效的一种是使用预编译的SQL语句,即PreparedStatement。在MyBatis中,我们通常使用`#{}`语法来引用参数,例如在以下的映射语句中: ```xml select id, title,...
mybatissql_mybatis解决sql注入
12-22
标题 "mybatissql_mybatis解决sql注入" 暗示了我们正在讨论MyBatis框架如何处理SQL注入问题。SQL注入是一种常见的安全漏洞,攻击者可以通过恶意输入篡改SQL查询,获取、修改或删除数据库中的敏感数据。MyBatis,作为...
mybatis防止sql注入原理
foralllove的博客
01-24 1473
1.什么是sql注入 sql注入解释: 是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句去修改数据信息。 例如:"select * from user where id =" + "参数" ,然后有人而已恶意拼接参数 1;delete from user; select * from user where id =1;delete from user;数据库就被恶意修改了。 2.mybaties防止sql注入用法 mybatis提供两种站位符号 #{}和 ${} ${}...
Mybatis 防止 sql 注入的原理
chaoge_dgqb的博客
09-26 426
最近看到 Mybatis 中 # 和 $ 的区别,前者可以防止 sql 注入,但是网上大部分说 # 注入的原理是将 where user_name=#{user_name} 中的 user_name加上双引号,但是这显然不对,为此特意去 Google 了一下。 首先看一下 Mybatis 的查询过程: Creating a new SqlSession SqlSession [org.apache.ibatis.session.defaults.DefaultSqlSession@1896ae05] wa
Mybatis-plus sql注入以及防止sql注入
热门推荐
sunrj_niu的博客
05-26 1万+
Mybatis-plus sql注入 一、SQL注入是什么? SQL注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的SQL语句中来改变查询结果,例如: OR 1=1 或者 ;drop table sys_user;等等 二、mybatis是如何做到防止sql注入mybatis中我们所写的sql语句都是在xml只能完成,我们在编写sql会用到 #{},${} 这个两个表达式。那 #{} 和 ${}两者之间有什么区别嘞?下面我将用两个SQL语句例子来进行说明。 <sele
MyBatis:预防SQL注入攻击
Torey_Li的博客
05-02 300
MyBatis:预防SQL注入攻击 导航 回到mybatis导航页 SQL注入攻击 SQL注入是指攻击者利用SQL漏洞,绕过系统约束,越权获取数据的攻击方法 例如如下sql: select * from a where name='"+name+"' 正常情况:name:张三 select * from a where name='张三' SQL注入攻击:name:’ or 1=1 or 1=’ select * from a where name ='' or 1=1 or 1='' MyBa
Windows和Linux系统查看端口和文件占用
A1_3_9_7的博客
03-21 965
在Windows环境中要知道当前端口被哪个进程所占用,或者是查看当前系统网络的会话连接,操作如下:(1)、查看端口被那个进程ID(PID)所占用查看指定端口,使用命令:netstat -ano | findstr “445”上边这个445端口当前正在监听0.0.0.0地址,可以看到占用进程PID为4findstr更多用法可以通过findstr /?查看(2)、通过PID查看进程上边已知进程PID为4,使用命令:tasklist | findstr "4"查找进程。
${} 和 #{} 的区别,防止sql注入,#{}的模糊查询
Java牛马的博客
08-09 1732
Java模糊查询(Mybatis模糊查询相关,xml),防止sql注入 1.先看一波这种写法实现模糊查询: <select id="queryExample" resultMap = "userMap" > select id, email, password, create_time, phone_number from ex_user where nickname like '%${nickname}%' </select> 说明: 一般情况下,
MybatisPlus是否防止SQL注入
wgx_0504的博客
05-06 4870
如果我希望使用mybatisplus同时也进行防SQL注入操作,应该怎么处理?
mysql注入原理_Mybatis是如何实现SQL注入
weixin_33930436的博客
02-02 181
Mybatis这个框架在日常开发中用的很多,比如面试中经常有一个问题:$和#的区别,它们的区别是使用#可以防止SQL注入,今天就来看一下它是如何实现SQL注入的。什么是SQL注入在讨论怎么实现之前,首先了解一下什么是SQL注入,我们有一个简单的查询操作:根据id查询一个用户信息。它的sql语句应该是这样:select * from user where id =。我们根据传入条件填入id进行查询。...
mybatis 防止sql注入原理
Sam997的博客
01-11 1445
mybatis 防止sql注入原理
mybatis防止sql注入的原理
weixin_40773255的博客
05-23 2115
1.什么是sql注入?最早接触sql注入是在大学的时候,其实我理解,就是sql 对传入参数的拼接,会引发安全问题,举个例子select  name from student where id = ();   这里括号里的参数我如果传 “3;drop table student;”,就发生注入了。2.原理,怎么防止?发生sql注入的原因是,不安全的参数拼接,编译后,sql执行,如上例子,会出现问题。...
mybatis 防止 sql 注入
最新发布
08-14
### MyBatis防止 SQL 注入的方法 MyBatis 是一个流行的持久层框架,它通过预编译机制和参数绑定来有效防止 SQL 注入攻击。SQL 注入是一种常见的安全漏洞,攻击者可以通过恶意输入篡改 SQL 语句,从而获取或修改数据库中的敏感数据。为了防止这种情况的发生,MyBatis 提供了多种安全机制。 #### 使用 `#{}` 占位符 在 MyBatis 中,最常用且推荐的方式来防止 SQL 注入是使用 `#{}` 占位符。当使用 `#{}` 时,MyBatis 会将 SQL 语句中的占位符替换为问号 `?`,然后通过 `PreparedStatement` 的 `set` 方法将参数绑定到 SQL 语句中。这种方式确保了输入参数不会被解析为 SQL 命令,而是作为纯字符串处理,从而避免了 SQL 注入的风险。例如: ```xml <select id="selectUserById" parameterType="int" resultType="User"> SELECT * FROM user WHERE id = #{id} </select> ``` 在这个例子中,`#{id}` 会被替换为 `?`,然后通过 `PreparedStatement` 设置参数值,确保了即使传入的 `id` 包含恶意输入,也不会影响 SQL 语句的结构[^2]。 #### 避免使用 `${}` 进行字符串拼接 虽然 MyBatis 也支持使用 `${}` 进行字符串拼接,但这会带来 SQL 注入的风险。因为 `${}` 会在 SQL 语句中直接替换为传入的参数值,而不会进行任何转义或预编译处理。因此,在编写 SQL 语句时,应尽量避免使用 `${}`,尤其是在处理用户输入的参数时。例如,以下代码存在 SQL 注入风险: ```xml <select id="selectUserByName" parameterType="string" resultType="User"> SELECT * FROM user WHERE name = '${name}' </select> ``` 如果用户输入的 `name` 是 `" OR "1"="1`,那么最终的 SQL 语句将会变成 `SELECT * FROM user WHERE name = "" OR "1"="1"`,这会导致查询返回所有用户的记录。为了避免这种情况,应该使用 `#{}` 替代 `${}`[^3]。 #### 使用动态 SQL 标签 MyBatis 还提供了动态 SQL 标签,如 `<if>`、`<choose>`、`<when>` 等,这些标签可以帮助开发者根据不同的条件生成不同的 SQL 语句。动态 SQL 标签在处理参数时也会自动进行安全处理,确保参数不会被解析为 SQL 命令。例如: ```xml <select id="selectUsers" parameterType="map" resultType="User"> SELECT * FROM user <where> <if test="id != null"> AND id = #{id} </if> <if test="name != null"> AND name = #{name} </if> </where> </select> ``` 在这个例子中,`<if>` 标签会根据传入的参数是否存在来决定是否包含相应的条件。即使传入的参数包含恶意输入,也不会影响 SQL 语句的结构,从而避免了 SQL 注入的风险[^3]。 #### 预编译机制 MyBatis 内部采用了 JDBC 的 `PreparedStatement` 来实现预编译机制。预编译是指在 SQL 语句执行之前,数据库会对 SQL 语句进行语法分析,并生成执行计划。对于占位符 `?`,数据库会将其视为参数占位符,而不是 SQL 命令的一部分。因此,无论传入的参数是什么,都不会影响 SQL 语句的结构。这种机制不仅能够有效防止 SQL 注入,还能提高 SQL 语句的执行效率,特别是在多次执行相同的 SQL 语句时,预编译可以减少重复的语法分析和编译过程[^2]。 #### 参数绑定 除了预编译机制外,MyBatis 还通过参数绑定来进一步增强安全性。参数绑定是指将输入参数与 SQL 语句中的占位符进行绑定,确保参数不会被解析为 SQL 命令。MyBatis 支持多种类型的参数绑定,包括基本类型、对象、Map 等。无论传入的参数是什么类型,MyBatis 都会将其作为字符串处理,从而避免了 SQL 注入的风险[^4]。 ###
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值