Mybatis中防止Sql注入

最新推荐文章于 2025-06-29 10:00:00 发布
原创 最新推荐文章于 2025-06-29 10:00:00 发布 · 2.2w 阅读 · 49 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了SQL注入,它是将恶意SQL插入执行字段以不正当操作数据库信息的技术,JDBC中用PreparedStatement可防注入。还阐述了MyBatis中防止SQL注入的方法,对比了#和$的区别,指出#可预编译处理,能很大程度防注入,最后进行了演示。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、什么是Sql注入

sql注入是一种代码注入技术,将恶意的sql插入到被执行的字段中,以不正当的手段多数据库信息进行操作。

在jdbc中使用一般使用PreparedStatement就是为了防止sql注入。

比如代码 :"select * from user where id =" + id;
正常执行不会出现问题,一旦被sql注入,比如将传入参数id=“3 or 1 = 1”,那么sql会变成
"select * from user where id = 3 or 1 = 1",这样全部用户信息就一览无遗了。

二、MyBatis中防止sql注入

下面是Mybatis的两种sql。

  <select id="selectByPrimaryKey" resultMap="BaseResultMap"         
                        parameterType="java.lang.Integer" >
    select 
    <include refid="Base_Column_List" />
    from user
    where id = #{id,jdbcType=INTEGER}
  </select>
  <select id="selectByPrimaryKey" resultMap="BaseResultMap" 
                         parameterType="java.lang.Integer" >
    select 
    <include refid="Base_Column_List" />
    from user
    where id = ${id,jdbcType=INTEGER}
  </select>

可以很清楚地看到,主要是#和$的区别。

# 将sql进行预编译"where id = ?",然后底层再使用PreparedStatement的set方法进行参数设置。

$ 将传入的数据直接将参数拼接在sql中,比如 “where id = 123”。

因此,#与$相比,#可以很大程度的防止sql注入,因为对sql做了预编译处理,因此在使用中一般使用#{}方式。

三、演示

在项目中配置log4j。方便查看sql日志。

#方式

查看日志,sql进行了预编译,使用了占位符,防止了sql注入。  
[cn.jxust.cms.dao.UserMapper.selectByPrimaryKey] - ==>  Preparing: select id, stuId, username, password, type, info from user where id = ? 
  [cn.jxust.cms.dao.UserMapper.selectByPrimaryKey] - ==> Parameters: 1(Integer)
  [cn.jxust.cms.dao.UserMapper.selectByPrimaryKey] - <==      Total: 1

$方式

$传入的数据直接显示在sql中
 [cn.jxust.cms.dao.UserMapper.selectByPrimaryKey] - ==>  Preparing: select id, stuId, username, password, type, info from user where id = 1 
  [cn.jxust.cms.dao.UserMapper.selectByPrimaryKey] - ==> Parameters: 
  [cn.jxust.cms.dao.UserMapper.selectByPrimaryKey] - <==      Total: 1

​

附:使用$方式时,需要在mapper接口中使用@Param注解。否则会报There is no getter for property named 'id' in 'class java.lang.Integer'错误

User selectByPrimaryKey(@Param(value = "id") Integer id);

 

参考资料:

https://www.cnblogs.com/mmzs/p/8398405.html

mybatis是如何防止sql注入
学Java,找哪吒
07-09 1万+
Java基础教程系列,打造精品专栏。
关于防止sql注入问题
LYX_WIN
01-08 539
0. SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 注入攻击的总体思路 寻找到SQL注入的位置 判断服务器类型和后台数据库类型 针对不通的服务器和数据库特点进行SQL注入攻击 1. SQL注入原理 以登录账号为例,要求我们输入账号(userName)和密码(pass...
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
Mybatis如何防止sql注入
最新发布
tschen的博客
06-29 1043
{}直接拼接字符串到 SQL 中(如 ORDER BY ${column} ),若参数来自用户输入,可能注入恶意代码。参数值通过setXxx()方法独立传递,数据库将其视为纯数据而非可执行代码,自动转义特殊字符(如单引号' → \')。原理:MyBatis 底层使用 JDBC 的PreparedStatement,将 SQL 语句与参数分离。管控和业务层校验,可构建稳固的 SQL 注入防护体系。在业务层校验参数格式(如长度、字符集),拒绝非法输入。存储过程内部拼接 SQL 未转义。,确保参数值安全转义。
Mybatis防止sql注入的实例
08-30
本文通过实例给大家介绍了Mybatis防止sql注入的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
Mybatis是这样防止sql注入
KHOST的博客
01-12 524
Mybatis这个框架在日常开发中用的很多,比如面试中经常有一个问题:$和#的区别,它们的区别是使用#可以防止SQL注入,今天就来看一下它是如何实现SQL注入的。 什么是SQL注入 在讨论怎么实现之前,首先了解一下什么是SQL注入,我们有一个简单的查询操作:根据id查询一个用户信息。 它的sql语句应该是这样:select * from user where id =。 ...
java持久层框架mybatis防止sql注入的方法
09-01
下面小编就为大家带来一篇java持久层框架mybatis防止sql注入的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
Mybatis 如何防止 sql 注入mybatis 拦截器了解过吗,应用场景是什么.详情介绍
06-09
Mybatis 如何防止 sql 注入mybatis 拦截器了解过吗,应用场景是什么.详情介绍Mybatis 如何防止 sql 注入mybatis 拦截器了解过吗,应用场景是什么.详情介绍Mybatis 如何防止 sql 注入mybatis 拦截器了解过吗,...
浅谈mybatis中的#和$的区别 以及防止sql注入的方法
09-01
下面小编就为大家带来一篇浅谈mybatis中的#和$的区别 以及防止sql注入的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
MybatisSQL注入
2302_79184324的博客
10-12 1136
我们使用一个开源的cms来分析,java sql注入问题适合使用反推,先搜索xml查找可能存在注入的漏洞点→反推到DAO→再到实现类→再通过调用链找到前台URL,找到利用点,话不多说走起。以上就是Mybatissql注入审计的基本方法,我们没有分析的几个点也有问题,新手可以尝试分析一下不同的注入点来实操一遍,相信会有更多的收获。根据文件名带Dao的xml为我们需要的,以IContentDao.xml为例,双击打开,ctrl +F 搜索$,查找到16个前三个为数据库选择,跳过,
Mybatis 如何防止 sql 注入mybatis 拦截器了解过吗,应用场景是什么.txt|Mybatis 如何防止 sql 注入mybatis 拦截器了解过吗,应用场景是什么.txt
09-05
Mybatis 如何防止 sql 注入mybatis 拦截器了解过吗,应用场景是什么答案 Mybatis 如何防止 sql 注入mybatis 拦截器了解过吗,应用场景是什么答案
mybatissql_mybatis解决sql注入
12-22
全新的sql框架
mybatis中如何防止sql注入和传参
kali_Ma的博客
12-24 2954
环境 使用mysql,数据库名为test,含有1表名为users,users内数据如下 JDBC下的SQL注入 在JDBC下有两种方法执行SQL语句,分别是Statement和PrepareStatement,即其中,PrepareStatement为预编译 Statement SQL语句 SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "' 当传入数据为 username =
MyBatis 1】SQL注入
2401_84046677的博客
04-18 1017
至此,文章终于到了尾声。技术能力:先写岗位所需能力,再写加分能力,不要写无关能力;项目经历:只写明星项目,描述遵循 STAR 法则;简历印象:简历遵循三大原则:清晰,简短,必要,要有的放矢,不要海投;以及最后为大家准备的福利时间:简历模板+Java面试题+热门技术系列教程视频《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!列教程视频[外链图片转存中…(img-PzLybdSI-1713400836427)]
34. MyBatis如何处理SQL注入问题?有哪些防范措施?
zhzjn的博客
09-14 2602
SQL注入是一个严重的安全问题,攻击者通过恶意构造的输入,改变SQL查询的意图,进而访问、修改、甚至删除数据库中的数据。MyBatis 提供了多种机制来防止SQL注入,下面介绍如何在MyBatis中处理SQL注入问题以及常见的防范措施。占位符,因为它会直接将用户输入的内容嵌入到SQL中,容易导致SQL注入。通过这些措施,开发者可以构建更安全的应用,避免SQL注入带来的潜在风险。这样,MyBatis使用JDBC的预编译特性,自动对参数进行转义,避免了SQL注入的风险。占位符是防止SQL注入的最有效方法之一。
MyBatis动态表名或动态排序直接使用${}而引发SQL注入安全漏洞的修复解决方案
eguid音视频技术分享(JavaCV教程、FFmpeg教程、openCV图像处理教程、音视频教程)
07-20 3282
MyBatis能用#{}尽量用#{},而本文主要解决必须要用${ }的情况下,如何解决${}导致的SQL注入安全漏洞修复。
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6847
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
MyBatis怎么防止sql注入
m0_62381101的博客
09-22 6247
1. 使用`#{}`占位符:在SQL语句中使用`#{}`占位符来代替传入的参数值,而不是直接拼接参数值到SQL语句中。通过使用动态SQL的条件判断和循环等功能,可以避免直接拼接参数值到SQL语句中,从而减少SQL注入的风险。综上所述,通过使用`#{}`占位符、动态SQL、输入参数校验、预编译语句和限制权限等方法,可以有效地防止SQL注入攻击。5. 限制权限:在数据库层面,可以限制数据库用户的权限,只给予其执行特定操作的权限,避免恶意操作和注入攻击。
mybatis什么防止sql注入
04-02
### MyBatis防止SQL注入的最佳实践 在MyBatis框架中,为了有效防止SQL注入攻击,开发者应遵循一系列最佳实践。以下是详细的说明: #### 1. 使用`#{}`占位符替代`${}` MyBatis中的`#{}`会被解析为JDBC的预编译参数(PreparedStatement),从而确保传递的参数被正确转义并作为独立的数据处理,而非SQL语句的一部分[^3]。 ```sql SELECT * FROM users WHERE username = #{username} ``` 这种方式能够显著降低SQL注入的风险,因为它不会将用户输入直接嵌入到SQL字符串中。 #### 2. 避免使用 `${}` 进行动态替换 尽管`${}`允许动态替换SQL片段,但它会将变量值直接插入到SQL语句中,而没有任何转义机制。因此,在使用`${}`时需格外小心,尤其是当涉及外部输入数据时[^2]。 如果确实需要使用`${}`来实现某些复杂功能,则应对传入的变量进行严格的校验和过滤[^1]。 #### 3. 输入参数校验 无论采用何种方式构建SQL语句,都应在应用层面对所有来自客户端的输入执行必要的验证逻辑。例如,对于用户名字段可限定长度范围以及字符集;针对整数型参数则强制转换成数值类型后再参与运算等操作。 #### 4. 权限管理与最小化原则 数据库账户应当仅授予完成特定任务所需的最低限度权限。即使存在潜在漏洞也无法造成更大破坏。 #### 5. 利用框架内置的安全特性 MyBatis 提供了一些额外选项帮助增强安全性。比如调整 `targetRuntime` 属性至更简单的模式 (`MyBatis3Simple`) 可减少因自定义过多而导致错误的可能性。 --- ### 参数化查询的具体使用方法 下面展示了一个完整的例子,演示如何利用 `#{}` 实现安全的参数绑定: 假设有一个需求是从表 `users` 查询指定名字对应的记录: ```xml <select id="selectUserByName" parameterType="string" resultType="User"> SELECT * FROM users WHERE name = #{name} </select> ``` 上述XML映射文件中的 `#{name}` 将由 MyBatis 自动转化为 PreparedStatement 的形式,并且任何特殊字符都会经过适当编码处理。 同样也可以通过 Java 接口调用来触发此 SQL 请求: ```java public interface UserMapper { List<User> selectUserByName(@Param("name") String name); } // 调用示例 List<User> users = userMapper.selectUserByName("John Doe"); ``` 以上代码片段展示了基于接口风格编程的方式访问数据库资源的同时保持了良好的防护措施。 --- ### 总结 综合运用上述提到的各种策略——优先选用 `#{}` 替代 `${}`、严格审查进入系统的每一个请求参数、合理分配DBMS用户的职能边界以及善加发挥现代ORM工具箱里的各种武器装备,就可以构筑起一道坚固防线抵御住绝大多数类型的SQL Injection威胁[^2]. ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值