mybatis中#{}與${}的差異(如何防止sql注入)
默認狀況下,使用#{}語法,MyBatis會產生PreparedStatement語句中,而且安全的設置PreparedStatement參數,這個過程當中MyBatis會進行必要的安全檢查和轉義。sql
#至關於對數據 加上 雙引號,$至關於直接顯示數據數據庫
示例1:
執行SQL:select * from emp where name = #{employeeName}
參數:employeeName=>Smith
解析後執行的SQL:select * from emp where name = ?安全
示例2:框架
執行SQL:select * from emp where name = ${employeeName}
參數:employeeName傳入值爲:Smith
解析後執行的SQL:Select * from emp where name =Smith函數
綜上所述、${}方式會引起SQL注入的問題、同時也會影響SQL語句的預編譯,因此從安全性和性能的角度出發,能使用#{}的狀況下就不要使用${}性能
Q:可是${}在什麼狀況下使用呢?spa
A:有時候可能須要直接插入一個不作任何修改的字符串到SQL語句中。這時候應該使用${}語法。對象
好比,動態SQL中的字段名,如:ORDER BY ${columnName}blog
重要:接受從用戶輸出的內容並提供給語句中不變的字符串,這樣作是不安全的。這會致使潛在的SQL注入攻擊,所以你不該該容許用戶輸入這些字段,或者一般自行轉義並檢查。字符串
MyBatis框架做爲一款半自動化的持久層框架,其SQL語句都要咱們本身手動編寫,這個時候固然須要防止SQL注入。其實,MyBatis的SQL是一個具備「輸入+輸出」的功能,相似於函數的結構,以下:
<select id="getBlogById" resultType="Blog" parameterType=」int」>
SELECT id,title,author,content
FROM blog
WHERE id=#{id}
</select>
這裏,parameterType表示了輸入的參數類型,resultType表示了輸出的參數類型。迴應上文,若是咱們想防止SQL注入,理所固然地要在輸入參數上下功夫。上面代碼中黃色高亮即輸入參數在SQL中拼接的部分,傳入參數後,打印出執行的SQL語句,會看到SQL是這樣的:
SELECT id,title,author,content FROM blog WHERE id = ?
無論輸入什麼參數,打印出的SQL都是這樣的。這是由於MyBatis啓用了預編譯功能,在SQL執行前,會先將上面的SQL發送給數據庫進行編譯;執行時,直接使用編譯好的SQL,替換佔位符「?」就能夠了。由於SQL注入只能對編譯過程起做用,因此這樣的方式就很好地避免了SQL注入的問題。
【底層實現原理】MyBatis是如何作到SQL預編譯的呢?其實在框架底層,是JDBC中的PreparedStatement類在起做用,PreparedStatement是咱們很熟悉的Statement的子類,它的對象包含了編譯好的SQL語句。這種「準備好」的方式不只能提升安全性,並且在屢次執行同一個SQL時,可以提升效率。緣由是SQL已編譯好,再次執行時無需再編譯。
在MyBatis中,${xxx}這樣格式的參數會直接參與SQL編譯,從而不能避免注入攻擊。但涉及到動態表名和列名時,只能使用${xxx}這樣的參數格式。因此,這樣的參數須要咱們在代碼中手工進行處理來防止注入。
【結論】
在編寫MyBatis的映射語句時,儘可能採用#{xxx}這樣的格式。若不得不使用${xxx}這樣的參數,要手工地作好過濾工做,來防止SQL注入攻擊。
#{}:至關於JDBC中的PreparedStatement
${}:是輸出變量的值
簡單說,#{}是通過預編譯的,是安全的;${}是未通過預編譯的,僅僅是取變量的值,是非安全的,存在SQL注入。
若是咱們order by語句後用了${},那麼不作任何處理的時候是存在SQL注入危險的。你說怎麼防止,那我只能悲慘的告訴你,你得手動處理過濾一下輸入的內容。如判斷一下輸入的參數的長度是否正常(注入語句通常很長)
原理介紹:
myBatis 對於#{} 在boundSql 的時候,會將sql 語句解析成爲?;對於${} 則原本的值進行替換。
對於 select * from emp where name = #{employeeName},myBatis 會解析sql爲:select * from emp where name = #{employeeName},而後進行prepareStatment 預編譯處理。
對於 select * from emp where name = ${employeeName},myBatis 會解析sql爲:select * from emp where name = 'employeeName',而後進行prepareStatment 預編譯處理。
myBatis 其實底層防止sql注入,使用的是prepareStatment語句。表現爲#{employeeName}和${employeeName}的兩種參數注入方法。
- 1. mybatis中如何防止sql注入
- 2. mybatis是如何防止SQL注入的
- 3. MyBatis如何防止SQL注入
- 4. 【轉】mybatis如何防止sql注入
- 5. 如何防止sql注入
- 6. PHP中如何防止SQL注入
- 7. 如何在PHP中防止SQL注入?
- 8. Python中如何防止sql注入
- 9. mybatis 防止sql注入
- 10. Mybatis防止sql注入
- 更多相關文章...
- • XSD 如何使用? - XML Schema 教程
- • SQLite 注入 - SQLite教程
- • Spring Cloud 微服務實戰(三) - 服務註冊與發現
- • C# 中 foreach 遍歷的用法
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. python的安裝和Hello,World編寫
- 2. 重磅解讀:K8s Cluster Autoscaler模塊及對應華爲雲插件Deep Dive
- 3. 鴻蒙學習筆記2(永不斷更)
- 4. static關鍵字 和構造代碼塊
- 5. JVM筆記
- 6. 無法啓動 C/C++ 語言服務器。IntelliSense 功能將被禁用。錯誤: Missing binary at c:\Users\MSI-NB\.vscode\extensions\ms-vsc
- 7. 【Hive】Hive返回碼狀態含義
- 8. Java樹形結構遞歸(以時間換空間)和非遞歸(以空間換時間)
- 9. 數據預處理---缺失值
- 10. 都要2021年了,現代C++有什麼值得我們學習的?
- 1. mybatis中如何防止sql注入
- 2. mybatis是如何防止SQL注入的
- 3. MyBatis如何防止SQL注入
- 4. 【轉】mybatis如何防止sql注入
- 5. 如何防止sql注入
- 6. PHP中如何防止SQL注入
- 7. 如何在PHP中防止SQL注入?
- 8. Python中如何防止sql注入
- 9. mybatis 防止sql注入
- 10. Mybatis防止sql注入