sql注入
来源:互联网 发布:弹幕朗读软件 编辑:程序博客网 时间:2024/05/22 17:20
1、JDBC:使用PreparedStatement防止SQL注入
http://blog.csdn.net/javy_codercoder/article/details/49276653
2、mybatis深入理解之 # 与 $ 区别以及 sql 预编译
- ${}方式无法防止sql注入;
- $一般用入传入数据库对象,比如数据库表名;
- 注意:mybaties排序时使用order by 动态参数时需要注意,使用${}而不用#{};
#{xxxx}:会给数据加双引号
mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析, ${ } 的变量的替换阶段是在动态 SQL 解析阶段,而 #{ }的变量的替换是在 DBMS 中。
原文:http://blog.csdn.net/hanchao_h/article/details/53640720
mybatis中的sql注入问题:
–mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入。其实Mybatis的sql是一个具有“输入+输出”功能,类似于函数的结构,如下:
<select id=“getBlogById“ resultType=“Blog“ parameterType=”int”> select id,title,author,content from blog where id=#{id}</select>
这里,parameterType标示了输入的参数类型,resultType标示了输出的参数类型。回应上文,如果我们想防止sql注入,理所当然地要在输入参数上下功夫。上面代码中高亮部分即输入参数在sql中拼接的部分,传入参数后,打印出执行的sql语句,会看到sql是这样的:
select id,title,author,content from blog where id = ?
不管输入什么参数,打印出的sql都是这样的。这是因为mybatis启用了预编译功能,在sql执行前,会先将上面的sql发送给数据库进行编译,执行时,直接使用编译好的sql,替换占位符“?”就可以了。因为sql注入只能对编译过程起作用,所以这样的方式就很好地避免了sql注入的问题。
mybatis是如何做到sql预编译的呢?其实在框架底层,是jdbc中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的sql语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行一个sql时,能够提高效率,原因是sql已编译好,再次执行时无需再编译。
话说回来,是否我们使用mybatis就一定可以防止sql注入呢?当然不是,请看下面的代码:
<select id=“orderBlog“ resultType=“Blog“ parameterType=”map”> select id,title,author,content from blog order by ${orderParam}</select>
仔细观察,内联参数的格式由“#{xxx}”变为了
结论:在编写mybatis的映射语句时,尽量采用“#{xxx}”这样的格式。若不得不使用“{xxx}”这样的参数,要手工地做好过滤工作,来防止sql注入攻击。
myBatis的sql注入危害详解:
原文:http://www.cnblogs.com/hkncd/archive/2012/03/31/2426274.html
- SQL注入--GET注入
- 注入攻击--SQL注入
- 【sql注入】mysql注入
- SQL注入
- SQL注入
- SQL注入
- sql注入
- SQL注入
- SQL注入
- SQL注入
- SQL注入
- sql注入
- SQL注入
- SQL注入
- SQL注入
- SQL注入
- SQL注入
- sql注入
- SpringCloud API网关服务(Spring Cloud Zuul)
- golang 变量声明
- Python-virtualenv安装
- CentOS之——解决SSH自动断开办法
- html5_锚点,点击到相应的位置
- sql注入
- mysql不常用语句
- 【经验】转一个非常好的【SCI论文写法攻略】
- android重定向cout,使用cout来打印日志
- C++动态内存管理
- 【个人模板】 筛法求素数
- Ford:$27 Security Access(2)
- 二进制安装mariadb的脚本
- linux——linux基础习题