mybatis如何防止SQL注入？

一、采用jdbc操作数据时候

成都创新互联公司于2013年开始，是专业互联网技术服务公司，拥有项目成都做网站、网站建设网站策划，项目实施与项目整合能力。我们以让每一个梦想脱颖而出为使命，1280元鸠江做网站,已为上家服务,为鸠江各地企业和个人服务,联系电话:13518219792

 
 
 
  
  
  
String sql = "update ft_proposal set id = "+id; 
  
  
  
        PreparedStatement prepareStatement = conn.prepareStatement(sql); 
  
  
  
        prepareStatement.executeUpdate(); 
 
 

preparedStatement 预编译对象会对传入sql进行预编译，那么当传入id 字符串为 "update ft_proposal set id = 3;drop table ft_proposal;" 这种情况下就会导致sql注入删除ft_proposal这张表。

如何防止sql注入，首先将要执行sql进行预编译，然后在将占位符进行替换

 
 
 
  
  
  
String sql = "update ft_proposal set id = ?" 
  
  
  
PreparedStatement ps = conn.preparedStatement(sql); 
  
  
  
ps.setString(1,"2"); 
  
  
  
ps.executeUpdate(); 
 
 

处理使用预编译语句之外，另一种实现方式可以采用存储过程，存储过程其实也是预编译的，存储过程是sql语句的集合，将所有预编译的sql 语句编译完成后，存储在数据库上，

由于存储过程比较死板一般不采用这种方式进行处理。

二、mybatis是如何处理sql注入的？

假设mapper.xml文件中sql查询语句为：

 
 
 
  
  
  
 
  
  
  
    select name from user where id = #{userid}; 
  
  
  
 
 
 

对应的接口为：

 
 
 
  
  
  
public String findById(@param("userId")String userId); 
 
 

当传入的参数为3;drop table user; 当我们执行时可以看见打印的sql语句为：

select name from usre where id = ?;

不管输入何种参数时，都可以防止sql注入，因为mybatis底层实现了预编译，底层通过prepareStatement预编译实现类对当前传入的sql进行了预编译，这样就可以防止sql注入了。

如果将查询语句改写为：

 
 
 
  
  
  
 
  
  
  
select name from user where id=${userid} 
  
  
  
 
 
 

当输入参数为3；drop table user; 执行sql语句为

 
 
 
  
  
  
select name from user where id = 3;drop table user ; 
 
 

mybatis没有进行预编译语句，它先进行了字符串拼接，然后进行了预编译。这个过程就是sql注入生效的过程。

因此在编写mybatis的映射语句时，尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数，要手工地做好过滤工作，来防止sql注入攻击。

名称栏目：mybatis如何防止SQL注入？
网页网址：http://www.gawzjz.com/qtweb/news41/204891.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联