mybatis如何使用preparedstatement防止依赖注入

2024-03-15 01:18

本文主要是介绍mybatis如何使用preparedstatement防止依赖注入,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

原文地址:以mysql为例介绍PreparedStatement防止sql注入原理
最近,在写程序时开始注意到sql注入的问题,由于以前写代码时不是很注意,有一些sql会存在被注入的风险,那么防止sql注入的原理是什么呢?我们首先通过PrepareStatement这个类来学习一下吧!
作为一个IT业内人士只要接触过数据库的人都应该知道sql注入的概念及危害,那么什么叫sql注入呢?我在这边先给它来一个简单的定义:sql注入,简单来说就是用户在前端web页面输入恶意的sql语句用来欺骗后端服务器去执行恶意的sql代码,从而导致数据库数据泄露或者遭受攻击。
那么,当我们在使用数据库时,如何去防止sql注入的发生呢?我们自然而然地就会想到在用JDBC进行连接时使用PreparedStatement类去代替Statement,或者传入的条件参数完全不使用String字符串,同样地,在用mybatis时,则尽量使用#{param}占位符的方式去避免sql注入,其实jdbc和mybatis的原理是一致的。我们都知道当我们使用PreparedStatement去写sql语句时,程序会对该条sql首先进行预编译,然后会将传入的字符串参数以字符串的形式去处理,即会在参数的两边自动加上单引号(’param’),而Statement则是直接简单粗暴地通过人工的字符串拼接的方式去写sql,那这样就很容易被sql注入。
那么,如果PreparedStatement只是仅仅简单地通过把字符串参数两边加上引号的方式去处理,一样也很容易被sql注入,显然它并没有那么傻。比如说有如下一张表:

create table user
(id  int4  PRIMARY KEY,name VARCHAR(50) not null,class VARCHAR(50)
)

里面有如下几条数据:

INSERT INTO `user` VALUES ('1', '张三', '1班');
INSERT INTO `user` VALUES ('2', '李四', '2班');
INSERT INTO `user` VALUES ('3', '王五', '3班');
INSERT INTO `user` VALUES ('4', '赵六', '4班');

这里我们使用mybatis的 {param} 和 #{param} 两个不同的占位符来作为示例解释 Statement 和 PreparedStatement (mybatis和jdbc的低层原理是一样的)。首先

{}是不能防止sql注入的,它能够通过字符串拼接的形式来任意摆弄你的sql语句,而#{}则可以很大程度上地防止sql注入,下面是关于这个的一条sql:

< mapper namespace="com.sky.dao.UserMapper"><select id="query" parameterType="com.sky.model.User" resultType="com.sky.model.User">select * from user where name = '${name}'</select>
</mapper>

同时,给出前端页面的简略的代码:

<form action="<%=basePath%>query" method="get"><input type="input" placeholder="请输入姓名" name="name"/><input type="submit" value="查询"/>
</form>

前端页面通过form表单的形式输入查询条件并调用后端sql。显然对于上面这条sql语句,正常的操作应该是在前端页面输入一个名字,并查询结果,如:传入参数为:张三,则对应sql为:select * from user where name = ‘张三’;那么,其结果就是:id=1;name=’张三’;classname=’1班’;但是,如果其传入参数为:张三’ or 1=’1;则传到后台之后其对应的sql就变为:select * from user where name = ‘张三’ or 1=’1’;那么,其输出的结果就是表中所有的数据。

那么,如果我们我们将mybatis中的sql语句改为:select * from user where name = #{name} 之后又会怎样呢?如果传入的参数为:张三,则结果很显然跟上面第一次的是一样的,那如果将传入参数变为:张三’ or 1=’1 又会怎样呢?实践证明,查询结果为空,很显然它并不仅仅是给字符串两端加了单引号那么简单,否则我作为一个新手都随便就想得到的问题,那么多高智商的IT人士又怎会发现不了呢。那么它的原理又是什么呢?我带着这个问题去寻找答案,很显然,寻找答案的最好方式就是去看源代码。于是,我找到了mysql-jdbc连接的源代码,查看了PreparedStatement类的源代码,其中setString()方法的源代码如下:

/*** Set a parameter to a Java String value. The driver converts this to a SQL* VARCHAR or LONGVARCHAR value (depending on the arguments size relative to* the driver's limits on VARCHARs) when it sends it to the database.* * @param parameterIndex*            the first parameter is 1...* @param x*            the parameter value* * @exception SQLException*                if a database access error occurs*/public void setString(int parameterIndex, String x) throws SQLException {synchronized (checkClosed().getConnectionMutex()) {// if the passed string is null, then set this column to nullif (x == null) {setNull(parameterIndex, Types.CHAR);} else {checkClosed();int stringLength = x.length();if (this.connection.isNoBackslashEscapesSet()) {// Scan for any nasty charsboolean needsHexEscape = isEscapeNeededForString(x, stringLength);if (!needsHexEscape) {byte[] parameterAsBytes = null;StringBuilder quotedString = new StringBuilder(x.length() + 2);quotedString.append('\'');quotedString.append(x);quotedString.append('\'');if (!this.isLoadDataQuery) {parameterAsBytes = StringUtils.getBytes(quotedString.toString(), this.charConverter, this.charEncoding,this.connection.getServerCharset(), this.connection.parserKnowsUnicode(), getExceptionInterceptor());} else {// Send with platform character encodingparameterAsBytes = StringUtils.getBytes(quotedString.toString());}setInternal(parameterIndex, parameterAsBytes);} else {byte[] parameterAsBytes = null;if (!this.isLoadDataQuery) {parameterAsBytes = StringUtils.getBytes(x, this.charConverter, this.charEncoding, this.connection.getServerCharset(),this.connection.parserKnowsUnicode(), getExceptionInterceptor());} else {// Send with platform character encodingparameterAsBytes = StringUtils.getBytes(x);}setBytes(parameterIndex, parameterAsBytes);}return;}String parameterAsString = x;boolean needsQuoted = true;if (this.isLoadDataQuery || isEscapeNeededForString(x, stringLength)) {needsQuoted = false; // saves an allocation laterStringBuilder buf = new StringBuilder((int) (x.length() * 1.1));buf.append('\'');//// Note: buf.append(char) is _faster_ than appending in blocks, because the block append requires a System.arraycopy().... go figure...//for (int i = 0; i < stringLength; ++i) {char c = x.charAt(i);switch (c) {case 0: /* Must be escaped for 'mysql' */buf.append('\\');buf.append('0');break;case '\n': /* Must be escaped for logs */buf.append('\\');buf.append('n');break;case '\r':buf.append('\\');buf.append('r');break;case '\\':buf.append('\\');buf.append('\\');break;case '\'':buf.append('\\');buf.append('\'');break;case '"': /* Better safe than sorry */if (this.usingAnsiMode) {buf.append('\\');}buf.append('"');break;case '\032': /* This gives problems on Win32 */buf.append('\\');buf.append('Z');break;case '\u00a5':case '\u20a9':// escape characters interpreted as backslash by mysqlif (this.charsetEncoder != null) {CharBuffer cbuf = CharBuffer.allocate(1);ByteBuffer bbuf = ByteBuffer.allocate(1);cbuf.put(c);cbuf.position(0);this.charsetEncoder.encode(cbuf, bbuf, true);if (bbuf.get(0) == '\\') {buf.append('\\');}}buf.append(c);break;default:buf.append(c);}}buf.append('\'');parameterAsString = buf.toString();}byte[] parameterAsBytes = null;if (!this.isLoadDataQuery) {if (needsQuoted) {parameterAsBytes = StringUtils.getBytesWrapped(parameterAsString, '\'', '\'', this.charConverter, this.charEncoding,this.connection.getServerCharset(), this.connection.parserKnowsUnicode(), getExceptionInterceptor());} else {parameterAsBytes = StringUtils.getBytes(parameterAsString, this.charConverter, this.charEncoding, this.connection.getServerCharset(),this.connection.parserKnowsUnicode(), getExceptionInterceptor());}} else {// Send with platform character encodingparameterAsBytes = StringUtils.getBytes(parameterAsString);}setInternal(parameterIndex, parameterAsBytes);this.parameterTypes[parameterIndex - 1 + getParameterIndexOffset()] = Types.VARCHAR;}}
}

这段代码的作用是将java中的String字符串参数传到sql语句中,并通过驱动将其转换成sql语句并到数据库中执行。这段代码中前面一部分做了一些是否需要对字符串进行转义的判断,这里不展开讲。后面一部分则是如何有效防止sql注入的重点,代码中通过一个for循环,将字符串参数通过提取每一位上的char字符进行遍历,并通过switch()….case 条件语句进行判断,当出现换行符、引号、斜杠等特殊字符时,对这些特殊字符进行转义。那么,此时问题的答案就出来了,当我们使用PreparedStatement进行传参时,若传入参数为:张三’ or 1 = ‘1 时,经过程序后台进行转义后,真正的sql其实变成了: select * from user where name = ‘张三\’ or 1 = \’1’;显然这样查询出来的结果一定为空。

以上,就是目前我对于防止sql注入的一些理解,由于入行不深,对于一些问题的理解还不够透彻,希望有错误的地方,请各位大神见谅,并跪求指正,谢谢!

这篇关于mybatis如何使用preparedstatement防止依赖注入的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/810355

相关文章

mybatis的整体架构

mybatis的整体架构分为三层: 1.基础支持层 该层包括:数据源模块、事务管理模块、缓存模块、Binding模块、反射模块、类型转换模块、日志模块、资源加载模块、解析器模块 2.核心处理层 该层包括:配置解析、参数映射、SQL解析、SQL执行、结果集映射、插件 3.接口层 该层包括:SqlSession 基础支持层 该层保护mybatis的基础模块,它们为核心处理层提供了良好的支撑。

中文分词jieba库的使用与实景应用(一)

知识星球:https://articles.zsxq.com/id_fxvgc803qmr2.html 目录 一.定义: 精确模式(默认模式): 全模式: 搜索引擎模式: paddle 模式(基于深度学习的分词模式): 二 自定义词典 三.文本解析   调整词出现的频率 四. 关键词提取 A. 基于TF-IDF算法的关键词提取 B. 基于TextRank算法的关键词提取

使用SecondaryNameNode恢复NameNode的数据

1)需求: NameNode进程挂了并且存储的数据也丢失了,如何恢复NameNode 此种方式恢复的数据可能存在小部分数据的丢失。 2)故障模拟 (1)kill -9 NameNode进程 [lytfly@hadoop102 current]$ kill -9 19886 (2)删除NameNode存储的数据(/opt/module/hadoop-3.1.4/data/tmp/dfs/na

Hadoop数据压缩使用介绍

一、压缩原则 (1)运算密集型的Job,少用压缩 (2)IO密集型的Job,多用压缩 二、压缩算法比较 三、压缩位置选择 四、压缩参数配置 1)为了支持多种压缩/解压缩算法,Hadoop引入了编码/解码器 2)要在Hadoop中启用压缩,可以配置如下参数

Makefile简明使用教程

文章目录 规则makefile文件的基本语法:加在命令前的特殊符号:.PHONY伪目标: Makefilev1 直观写法v2 加上中间过程v3 伪目标v4 变量 make 选项-f-n-C Make 是一种流行的构建工具,常用于将源代码转换成可执行文件或者其他形式的输出文件(如库文件、文档等)。Make 可以自动化地执行编译、链接等一系列操作。 规则 makefile文件

每天认识几个maven依赖(ActiveMQ+activemq-jaxb+activesoap+activespace+adarwin)

八、ActiveMQ 1、是什么? ActiveMQ 是一个开源的消息中间件(Message Broker),由 Apache 软件基金会开发和维护。它实现了 Java 消息服务(Java Message Service, JMS)规范,并支持多种消息传递协议,包括 AMQP、MQTT 和 OpenWire 等。 2、有什么用? 可靠性:ActiveMQ 提供了消息持久性和事务支持,确保消

使用opencv优化图片(画面变清晰)

文章目录 需求影响照片清晰度的因素 实现降噪测试代码 锐化空间锐化Unsharp Masking频率域锐化对比测试 对比度增强常用算法对比测试 需求 对图像进行优化,使其看起来更清晰,同时保持尺寸不变,通常涉及到图像处理技术如锐化、降噪、对比度增强等 影响照片清晰度的因素 影响照片清晰度的因素有很多,主要可以从以下几个方面来分析 1. 拍摄设备 相机传感器:相机传

pdfmake生成pdf的使用

实际项目中有时会有根据填写的表单数据或者其他格式的数据,将数据自动填充到pdf文件中根据固定模板生成pdf文件的需求 文章目录 利用pdfmake生成pdf文件1.下载安装pdfmake第三方包2.封装生成pdf文件的共用配置3.生成pdf文件的文件模板内容4.调用方法生成pdf 利用pdfmake生成pdf文件 1.下载安装pdfmake第三方包 npm i pdfma

零基础学习Redis(10) -- zset类型命令使用

zset是有序集合,内部除了存储元素外,还会存储一个score,存储在zset中的元素会按照score的大小升序排列,不同元素的score可以重复,score相同的元素会按照元素的字典序排列。 1. zset常用命令 1.1 zadd  zadd key [NX | XX] [GT | LT]   [CH] [INCR] score member [score member ...]

git使用的说明总结

Git使用说明 下载安装(下载地址) macOS: Git - Downloading macOS Windows: Git - Downloading Windows Linux/Unix: Git (git-scm.com) 创建新仓库 本地创建新仓库:创建新文件夹,进入文件夹目录,执行指令 git init ,用以创建新的git 克隆仓库 执行指令用以创建一个本地仓库的