這篇文章給大家介紹Mybatis中怎么實現(xiàn)SQL防注入，內(nèi)容非常詳細，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

創(chuàng)新互聯(lián)公司從2013年創(chuàng)立，是專業(yè)互聯(lián)網(wǎng)技術(shù)服務公司，擁有項目成都網(wǎng)站建設(shè)、成都網(wǎng)站設(shè)計網(wǎng)站策劃，項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命，1280元昆都侖做網(wǎng)站,已為上家服務,為昆都侖各地企業(yè)和個人服務,聯(lián)系電話:028-86922220

什么是SQL注入

在討論怎么實現(xiàn)之前，首先了解一下什么是SQL注入，我們有一個簡單的查詢操作：根據(jù)id查詢一個用戶信息。它的sql語句應該是這樣：select * from user where id =。我們根據(jù)傳入條件填入id進行查詢。

如果正常操作，傳入一個正常的id，比如說2，那么這條語句變成select * from user where id =2。這條語句是可以正常運行并且符合我們預期的。

但是如果傳入的參數(shù)變成'' or 1=1，這時這條語句變成select * from user where id = '' or 1=1。讓我們想一下這條語句的執(zhí)行結(jié)果會是怎么？它會將我們用戶表中所有的數(shù)據(jù)查詢出來，顯然這是一個大的錯誤。這就是SQL注入。

Mybatis如何防止SQL注入

在開頭講過，可以使用#來防止SQL注入，它的寫法如下：

 SELECT * FROM user where id = #{id}

在mybatis中查詢還有一個寫法是使用$，它的寫法如下：

 select * from user where id = ${id}

當我們在外部對這兩個方法繼續(xù)調(diào)用時，發(fā)現(xiàn)如果傳入安全的參數(shù)時，兩者結(jié)果并無不同，如果傳入不安全的參數(shù)時，第一種使用#的方法查詢不到結(jié)果(select * from user where id = '' or 1=1)，但這個參數(shù)在第二種也就是$下會得到全部的結(jié)果。

并且如果我們將sql進行打印，會發(fā)現(xiàn)添加#時，向數(shù)據(jù)庫執(zhí)行的sql為:select * from user where id = ' \'\' or 1=1 '，它會在我們的參數(shù)外再加一層引號，在使用$時，它的執(zhí)行sql是select * from user where id = '' or 1=1。

棄用$可以嗎

我們使用#也能完成$的作用，并且使用$還有危險，那么我們以后不使用$不就行了嗎。

并不是，它只是在我們這種場景下會有問題，但是在有一些動態(tài)查詢的場景中還是有不可代替的作用的，比如，動態(tài)修改表名select * from ${table} where id = #{id}。我們就可以在返回信息一致的情況下進行動態(tài)的更改查詢的表，這也是mybatis動態(tài)強大的地方。

如何實現(xiàn)SQL注入的，不用Mybatis怎么實現(xiàn)

其實Mybatis也是通過jdbc來進行數(shù)據(jù)庫連接的，如果我們看一下jdbc的使用，就可以得到這個原因。

#使用了PreparedStatement來進行預處理，然后通過set的方式對占位符進行設(shè)置，而$則是通過Statement直接進行查詢，當有參數(shù)時直接拼接進行查詢。

所以說我們可以使用jdbc來實現(xiàn)SQL注入。

看一下這兩個的代碼:

public static void statement(Connection connection) { System.out.println("statement-----"); String selectSql = "select * from user"; // 相當于mybatis中使用$，拿到參數(shù)后直接拼接 String unsafeSql = "select * from user where id = '' or 1=1;"; Statement statement = null; try {  statement = connection.createStatement(); } catch (SQLException e) {  e.printStackTrace(); } try {  ResultSet resultSet = statement.executeQuery(selectSql);  print(resultSet); } catch (SQLException e) {  e.printStackTrace(); } System.out.println("---****---"); try {  ResultSet resultSet = statement.executeQuery(unsafeSql);  print(resultSet); } catch (SQLException e) {  e.printStackTrace(); }}public static void preparedStatement(Connection connection) { System.out.println("preparedStatement-----"); String selectSql = "select * from user;"; //相當于mybatis中的#，先對要執(zhí)行的sql進行預處理，設(shè)置占位符，然后設(shè)置參數(shù) String safeSql = "select * from user where id =?;"; PreparedStatement preparedStatement = null; try {  preparedStatement = connection.prepareStatement(selectSql);  ResultSet resultSet = preparedStatement.executeQuery();  print(resultSet); } catch (SQLException e) {  e.printStackTrace(); } System.out.println("---****---"); try {  preparedStatement = connection.prepareStatement(safeSql);  preparedStatement.setString(1," '' or 1 = 1 ");  ResultSet resultSet = preparedStatement.executeQuery();  print(resultSet); } catch (SQLException e) {  e.printStackTrace(); }}public static void print(ResultSet resultSet) throws SQLException { while (resultSet.next()) {  System.out.print(resultSet.getString(1) + ", ");  System.out.print(resultSet.getString("name") + ", ");  System.out.println(resultSet.getString(3)); }}

關(guān)于Mybatis中怎么實現(xiàn)SQL防注入就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。