sql模糊查询,以及sql注入问题

mysql 模糊查询 与 sql注入

一、根据姓名模糊查询员工信息

方式一

<select id = "selectByName"  resultType= "cn.test.domain.Employee">
    select 
       id, emp_name as empName,
		sex,email,birthday,address
       from
            t_employee
       where
            emp_name like #{empName}
</select>
    

以上方式需要在传值时加上%% 即 %张三% 手动添加通配符

方式二

<select id = "selectByName"  resultType= "cn.test.domain.Employee">
    select 
       id, emp_name as empName,
		sex,email,birthday,address
       from
            t_employee
       where
            emp_name like ‘%${empName}%‘
</select>

通过$方式拼接的sql语句,不再是以占位符的形式生成sql,而是以拼接字符串的方式生成sql,这样做带来的问题:会引发sql注入的问题

方式三

既能解决sql注入又能够在位置文件中写%,可以使用mysql的函数 concat

<select id = "selectByName"  resultType= "cn.test.domain.Employee">
    select 
       id, emp_name as empName,
		sex,email,birthday,address
       from
            t_employee
       where
            emp_name like concat(‘%‘,#{empName},‘%‘)
</select>

补充

对于方式三也可使用 $ 即

  emp_name like concat(‘%‘,‘${empName}‘,‘%‘)

总结

  • {}是预编译处理,mybatis在处理#{}时,它会将sql中的#{}替换为?,然后调用PreparedStatement的set方法来赋值

  • 传入字符串后,会在值的两边加上单引号,使用占位符的方式提高效率,防止sql注入
  • ${}:表示拼接sql串,将接收到的参数的内容不加修饰拼接在sql中,可能引发sql注入

二、sql注入

1、什么是sql注入

通过输入的内容,改变原程序中的sql语句的结构,从而实现无账号登录、甚至篡改数据库

2、sql注入攻击实例

String sql = "select * from user_table where username = ‘"+username+"‘  and passwrod =‘"+password+"‘;
    
    当上述sql 中参数输入   ‘or 1=1 -- and password =‘’  无论输入的账号密码是什么一定会成功

3、sql注入的原理

  • 注入原因:sql语句接收来自客户端用户输入的变量或URL传递的参数,并且这个变量或参数是组成SQL语句的一部分,从而改变了sql语句本身,造成sql注入。

4、防范方法

  1. 检查变量数据的类型和格式
  2. 过滤特殊字符
  3. 绑定变量,使用预编译语句 最佳方式: 即在sql语句中,变量用问号?表示

5、什么是sql预编译

  • 预编译语句是什么
  • 通常我们的一条sql在db接收到最终执行结果返回分为三个过程
    1. 词法和语义解析
    2. 优化sql语句,制定执行计划
    3. 执行并返回结果
  • 所谓预编译语句就是将这类语句中的值用占位符替代,可以视为将sql语句模板化或者参数化,一般称这类语句叫做Prepared Statements
  • 预编译语句的优势在于:依次编译,多次运行,省去课解析优化过程,还能防止sql注入

6、mybatis 如何防止sql注入

1、以下sql的区别

<select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap">
select id, username, password, role
from user
where username = #{username,jdbcType=VARCHAR}
and password = #{password,jdbcType=VARCHAR}
</select>
<select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap">
select id, username, password, role
from user
where username = ${username,jdbcType=VARCHAR}
and password = ${password,jdbcType=VARCHAR}

</select>
  1. 将传入的数据都当成一个字符串,会自动对传入的数据加一个双引号。

  • 如: where username =#{username}, 如果传入的值是111,那么解析成sql的值为 where username =“111”

    1. $将传入的数据直接显示生成在sql 中

    2. 如 where username =${username} 如果传入的值为111,那么解析成sql时的值为where username =111;

      如果传入的值为 ;drop table user 则会有删表现象

    因此 :#方式能够很大程度上防止sql注入,$方式无法防止sql注入

    $方式一般用于传入数据库对象, 例如传入表名

    【结论】在编写MyBatis的映射语句时,尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止SQL注入攻击。

    2、mybatis 如何防止sql注入

    MyBatis框架作为一款半自动化的持久层框架,其SQL语句都要我们自己手动编写,这个时候当然需要防止SQL注入。其实,MyBatis的SQL是一个具有“输入+输出”的功能,类似于函数的结构,参考上面的两个例子。其中,parameterType表示了输入的参数类型,resultType表示了输出的参数类型。回应上文,如果我们想防止SQL注入,理所当然地要在输入参数上下功夫。上面代码中使用#的即输入参数在SQL中拼接的部分,传入参数后,打印出执行的SQL语句,会看到SQL是这样的:
    select id, username, password, role from user where username=? and password=?
    

    3、mybatis 底层实现防止sql注入的原理:

    【底层实现原理】MyBatis是如何做到SQL预编译的呢?其实在框架底层,是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行同一个SQL时,能够提高效率。原因是SQL已编译好,再次执行时无需再编译

sql模糊查询,以及sql注入问题

上一篇:linux安装mysql后报错启动不了Starting MySQL. ERROR! The server quit without updating PID file (/var/lib/mysql/localhost.localdomain.pid).


下一篇:跟进一件事物的能力