**:
sql注入大家都不陌生,是一種常見的攻擊方式,攻擊者在介面的表單資訊或url上輸入一些奇怪的sql片段,例如「or 『1』=』1』」這樣的語句,有可能入侵引數校驗不足的應用程式。所以在我們的應用中需要做一些工作,來防備這樣的攻擊方式。在一些安全性很高的應用中,比如銀行軟體,經常使用將sql語句全部替換為儲存過程這樣的方式,來防止sql注入,這當然是一種很安全的方式,但我們平時開發中,可能不需要這種死板的方式。
mybatis框架作為一款半自動化的持久層框架,其sql語句都要我們自己來手動編寫,這個時候當然需要防止sql注入。其實mybatis的sql是乙個具有「輸入+輸出」功能,類似於函式的結構,如下:
select id,title,author,content
from blog where id=#
這裡,parametertype標示了輸入的引數型別,resulttype標示了輸出的引數型別。回應上文,如果我們想防止sql注入,理所當然地要在輸入引數上下功夫。上面**中高亮部分即輸入引數在sql中拼接的部分,傳入引數後,列印出執行的sql語句,會看到sql是這樣的:
select id,title,author,content from blog where id = ?
不管輸入什麼引數,列印出的sql都是這樣的。這是因為mybatis啟用了預編譯功能,在sql執行前,會先將上面的sql傳送給資料庫進行編譯,執行時,直接使用編譯好的sql,替換佔位符「?」就可以了。因為sql注入只能對編譯過程起作用,所以這樣的方式就很好地避免了sql注入的問題。
mybatis是如何做到sql預編譯的呢?其實在框架底層,是jdbc中的preparedstatement類在起作用,preparedstatement是我們很熟悉的statement的子類,它的物件包含了編譯好的sql語句。這種「準備好」的方式不僅能提高安全性,而且在多次執行乙個sql時,能夠提高效率,原因是sql已編譯好,再次執行時無需再編譯。
話說回來,是否我們使用mybatis就一定可以防止sql注入呢?當然不是,請看下面的**:
select id,title,author,content
from blog order by $
仔細觀察,內聯引數的格式由「#」變為了$。如果我們給引數「orderparam」賦值為」id」,將sql列印出來,是這樣的:
select id,title,author,content from blog order by id
顯然,這樣是無法阻止sql注入的。在mybatis中,」$」這樣格式的引數會直接參與sql編譯,從而不能避免注入攻擊。但涉及到動態表名和列名時,只能使用「$」這樣的引數格式,所以,這樣的引數需要我們在**中手工進行處理來防止注入。
結論:在編寫mybatis的對映語句時,盡量採用「#」這樣的格式。若不得不使用「$」這樣的引數,要手工地做好過濾工作,來防止sql注入攻擊。
sql注入:
如果使用者執行
select * from product where id = 5
這條語句。其中5是有使用者輸入的。
sql注入的含義就是,一些搗蛋使用者輸入的不是5,而是
5; delete from orders
那麼原來的sql語句將會變為,
select * from product where id=5; delete from orders
在執行完select後,還將刪除orders表裡的所有記錄。(如果他只刪了這些記錄,已經謝天謝地了,他可能會做更可怕地事情)。
不過慶幸的是,ibatis使用的是預編譯語句(preparedstatements )。
上述語句會被編譯為,
select * from product where id=?
從而有效防止sql注入。
不過當你使用$佔位符時就要注意了。
例如:動態的選擇列和表
select * from $table_name$ where $column_name$ = #value#
這時你一定要仔細過濾那些值以避免sql注入。當然這種情況不只存在ibatis中。
佔位符的注入解決:
ibatis解決sql注入
(1) ibatis xml配置:下面的寫法只是簡單的轉義 name like '%$name$%'
(2) 這時會導致sql注入問題,比如引數name傳進乙個單引號「'」,生成的sql語句會是:name like '%'%'
(3) 解決方法是利用字串連線的方式來構成sql語句 name like '%'||'#name#'||'%'
(4) 這樣引數都會經過預編譯,就不會發生sql注入問題了。
(5) #與$區別:
#***# 代表***是屬性值,map裡面的key或者是你的pojo物件裡面的屬性, ibatis會自動在它的外面加上引號,表現在sql語句是這樣的 where *** = '***' ;
$***$ 則是把***作為字串拼接到你的sql語句中, 比如 order by topicid , 語句這樣寫 ... order by #***# ibatis 就會把他翻譯成
order by 'topicid' (這樣就會報錯) 語句這樣寫 ... order by $***$ ibatis 就會把他翻譯成 order by topicid
1. #將傳入的資料都當成乙個字串,會對自動傳入的資料加乙個雙引號。如:order by #user_id#,如果傳入的值是111,那麼解析成sql時的值為order by "111", 如果傳入的值是id,則解析成的sql為order by "id".
2. $將傳入的資料直接顯示生成在sql中。如:order by $user_id$,如果傳入的值是111,那麼解析成sql時的值為order by user_id, 如果傳入的值是id,則解析成的sql為order by id.
3. #方式能夠很大程度防止sql注入。
4.$方式無法防止sql注入。
5.$方式一般用於傳入資料庫物件,例如傳入表名.
6.一般能用#的就別用$.
mybatis排序時使用order by 動態引數時需要注意,用$而不是#
mybatis防止sql注入
sql注入大家都不陌生,是一種常見的攻擊方式,攻擊者在介面的表單資訊或url上輸入一些奇怪的sql片段,例如 or 1 1 這樣的語句,有可能入侵引數校驗不足的應用程式 所以在我們的應用中需要做一些工作,來防備這樣的攻擊方式。在一些安全 性很高的應用中,比如銀行軟體,經常使用將sql語句全部替換為儲...
mybatis 防止sql注入
1 和 符號的差異 相當於jdbc中的preparedstatement 相當於jdbc中的statement,使用字串拼接的形式 簡單說,是經過預編譯的,是安全的 是未經過預編譯的,僅僅是取變數的值,是非安全的,存在sql注入。使用時盡量使用 不得已使用 則相應對輸入值進行必要的校驗,防止sql注...
mybatis防止sql注入
sql注入大家都不陌生,是一種常見的攻擊方式,攻擊者在介面的表單資訊或url上輸入一些奇怪的sql片段,例如 or 1 1 這樣的語句,有可能入侵引數校驗不足的應用程式。所以在我們的應用中需要做一些工作,來防備這樣的攻擊方式。在一些安全性很高的應用中,比如銀行軟體,經常使用將sql語句全部替換為儲存...