mysql 模糊查询 与 sql注入
一、根据姓名模糊查询员工信息
方式一
<select id = "selectByName" resultType= "cn.test.domain.Employee">
select
id, emp_name as empName,
sex,email,birthday,address
from
t_employee
where
emp_name like #{empName}
</select>
以上方式需要在传值时加上%% 即 %张三% 手动添加通配符
方式二
<select id = "selectByName" resultType= "cn.test.domain.Employee">
select
id, emp_name as empName,
sex,email,birthday,address
from
t_employee
where
emp_name like ‘%${empName}%‘
</select>
通过$方式拼接的sql语句,不再是以占位符的形式生成sql,而是以拼接字符串的方式生成sql,这样做带来的问题:会引发sql注入的问题
方式三
既能解决sql注入又能够在位置文件中写%,可以使用mysql的函数 concat
<select id = "selectByName" resultType= "cn.test.domain.Employee">
select
id, emp_name as empName,
sex,email,birthday,address
from
t_employee
where
emp_name like concat(‘%‘,#{empName},‘%‘)
</select>
补充
对于方式三也可使用 $ 即
emp_name like concat(‘%‘,‘${empName}‘,‘%‘)
总结
-
{}是预编译处理,mybatis在处理#{}时,它会将sql中的#{}替换为?,然后调用PreparedStatement的set方法来赋值
- 传入字符串后,会在值的两边加上单引号,使用占位符的方式提高效率,防止sql注入
- ${}:表示拼接sql串,将接收到的参数的内容不加修饰拼接在sql中,可能引发sql注入
二、sql注入
1、什么是sql注入
通过输入的内容,改变原程序中的sql语句的结构,从而实现无账号登录、甚至篡改数据库
2、sql注入攻击实例
String sql = "select * from user_table where username = ‘"+username+"‘ and passwrod =‘"+password+"‘;
当上述sql 中参数输入 ‘or 1=1 -- and password =‘’ 无论输入的账号密码是什么一定会成功
3、sql注入的原理
- 注入原因:sql语句接收来自客户端用户输入的变量或URL传递的参数,并且这个变量或参数是组成SQL语句的一部分,从而改变了sql语句本身,造成sql注入。
4、防范方法
- 检查变量数据的类型和格式
- 过滤特殊字符
- 绑定变量,使用预编译语句 最佳方式: 即在sql语句中,变量用问号?表示
5、什么是sql预编译
- 预编译语句是什么
- 通常我们的一条sql在db接收到最终执行结果返回分为三个过程
- 词法和语义解析
- 优化sql语句,制定执行计划
- 执行并返回结果
- 所谓预编译语句就是将这类语句中的值用占位符替代,可以视为将sql语句模板化或者参数化,一般称这类语句叫做Prepared Statements
- 预编译语句的优势在于:依次编译,多次运行,省去课解析优化过程,还能防止sql注入
6、mybatis 如何防止sql注入
1、以下sql的区别
<select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap">
select id, username, password, role
from user
where username = #{username,jdbcType=VARCHAR}
and password = #{password,jdbcType=VARCHAR}
</select>
<select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap">
select id, username, password, role
from user
where username = ${username,jdbcType=VARCHAR}
and password = ${password,jdbcType=VARCHAR}
</select>
-
将传入的数据都当成一个字符串,会自动对传入的数据加一个双引号。
-
如: where username =#{username}, 如果传入的值是111,那么解析成sql的值为 where username =“111”
-
$将传入的数据直接显示生成在sql 中
-
如 where username =${username} 如果传入的值为111,那么解析成sql时的值为where username =111;
如果传入的值为 ;drop table user 则会有删表现象
因此 :#方式能够很大程度上防止sql注入,$方式无法防止sql注入
$方式一般用于传入数据库对象, 例如传入表名
【结论】在编写MyBatis的映射语句时,尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止SQL注入攻击。
2、mybatis 如何防止sql注入
MyBatis框架作为一款半自动化的持久层框架,其SQL语句都要我们自己手动编写,这个时候当然需要防止SQL注入。其实,MyBatis的SQL是一个具有“输入+输出”的功能,类似于函数的结构,参考上面的两个例子。其中,parameterType表示了输入的参数类型,resultType表示了输出的参数类型。回应上文,如果我们想防止SQL注入,理所当然地要在输入参数上下功夫。上面代码中使用#的即输入参数在SQL中拼接的部分,传入参数后,打印出执行的SQL语句,会看到SQL是这样的:
select id, username, password, role from user where username=? and password=?
3、mybatis 底层实现防止sql注入的原理:
【底层实现原理】MyBatis是如何做到SQL预编译的呢?其实在框架底层,是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行同一个SQL时,能够提高效率。原因是SQL已编译好,再次执行时无需再编译
-