盗墓笔记同人小说,完结小说,好看的历史书籍推荐

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

mybatis如何防止SQL注入？

一、采用jdbc操作數(shù)據(jù)時(shí)候

成都創(chuàng)新互聯(lián)公司于2013年開始，是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項(xiàng)目成都做網(wǎng)站、網(wǎng)站建設(shè)網(wǎng)站策劃，項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個(gè)夢(mèng)想脫穎而出為使命，1280元鳩江做網(wǎng)站,已為上家服務(wù),為鳩江各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話:13518219792

 
 
   
  
  String sql = "update ft_proposal set id = "+id;   
  
          PreparedStatement prepareStatement = conn.prepareStatement(sql);   
  
          prepareStatement.executeUpdate();

preparedStatement 預(yù)編譯對(duì)象會(huì)對(duì)傳入sql進(jìn)行預(yù)編譯，那么當(dāng)傳入id 字符串為 "update ft_proposal set id = 3;drop table ft_proposal;" 這種情況下就會(huì)導(dǎo)致sql注入刪除ft_proposal這張表。

如何防止sql注入，首先將要執(zhí)行sql進(jìn)行預(yù)編譯，然后在將占位符進(jìn)行替換

 
 
   
  
  String sql = "update ft_proposal set id = ?"   
  
  PreparedStatement ps = conn.preparedStatement(sql);   
  
  ps.setString(1,"2");   
  
  ps.executeUpdate();

處理使用預(yù)編譯語句之外，另一種實(shí)現(xiàn)方式可以采用存儲(chǔ)過程，存儲(chǔ)過程其實(shí)也是預(yù)編譯的，存儲(chǔ)過程是sql語句的集合，將所有預(yù)編譯的sql 語句編譯完成后，存儲(chǔ)在數(shù)據(jù)庫上，

由于存儲(chǔ)過程比較死板一般不采用這種方式進(jìn)行處理。

二、mybatis是如何處理sql注入的？

假設(shè)mapper.xml文件中sql查詢語句為：

 
 
   
  
     
  
      select name from user where id = #{userid};

對(duì)應(yīng)的接口為：

 
 
   
  
  public String findById(@param("userId")String userId);

當(dāng)傳入的參數(shù)為3;drop table user; 當(dāng)我們執(zhí)行時(shí)可以看見打印的sql語句為：

select name from usre where id = ?;

不管輸入何種參數(shù)時(shí)，都可以防止sql注入，因?yàn)閙ybatis底層實(shí)現(xiàn)了預(yù)編譯，底層通過prepareStatement預(yù)編譯實(shí)現(xiàn)類對(duì)當(dāng)前傳入的sql進(jìn)行了預(yù)編譯，這樣就可以防止sql注入了。

如果將查詢語句改寫為：

 
 
   
  
     
  
  select name from user where id=${userid}

當(dāng)輸入?yún)?shù)為3；drop table user; 執(zhí)行sql語句為

 
 
   
  
  select name from user where id = 3;drop table user ;

mybatis沒有進(jìn)行預(yù)編譯語句，它先進(jìn)行了字符串拼接，然后進(jìn)行了預(yù)編譯。這個(gè)過程就是sql注入生效的過程。

因此在編寫mybatis的映射語句時(shí)，盡量采用“#{xxx}”這樣的格式。若不得不使用“${xxx}”這樣的參數(shù)，要手工地做好過濾工作，來防止sql注入攻擊。

文章題目：mybatis如何防止SQL注入？
分享網(wǎng)址：http://fisionsoft.com.cn/article/cdccgec.html

新聞中心

其他資訊