共计 2807 个字符,预计需要花费 8 分钟才能阅读完成。
避免 sql 注入相干的一些过程:
1,mybatis 解析 sql 文件里的 #–>2,jdbc 预编译时与数据库交互 –>3,jdbc 设置值时与数据库交互
一,mybatis 将 #符号解析成占位符 ’?’
先看对 $ 符号:
public String handleToken(String content) {Object parameter = context.getBindings().get("_parameter");
if (parameter == null) {context.getBindings().put("value", null);
} else if (SimpleTypeRegistry.isSimpleType(parameter.getClass())) {context.getBindings().put("value", parameter);
}
Object value = OgnlCache.getValue(content, context.getBindings());
return (value == null ? "": String.valueOf(value)); // issue #274 return"" instead of "null"
}再看看 #符号:
public String handleToken(String content) {parameterMappings.add(buildParameterMapping(content));
return "?";//# 符号则会返回占位符?
}二,PreparedStatement 设置参数时的解决
mybatis 底层仍依赖的是 jdbc,咱们再来看看 com.mysql.jdbc.PreparedStatement 在设置参数时的逻辑:
public synchronized void setString(int parameterIndex, String x) throws SQLException {if (x == null) {this.setNull(parameterIndex, 1);
} else {this.checkClosed();
int stringLength = x.length();
StringBuffer buf;
// 判断是否须要转译
if (this.connection.isNoBackslashEscapesSet()) {boolean needsHexEscape = this.isEscapeNeededForString(x, stringLength);
Object parameterAsBytes;
byte[] parameterAsBytes;
if (!needsHexEscape) {
parameterAsBytes = null;
buf = new StringBuffer(x.length() + 2);
// 在参数前后加单引号
buf.append('\'');
buf.append(x);
buf.append('\'');
......
......
String parameterAsString = x;
boolean needsQuoted = true;
if (this.isLoadDataQuery || this.isEscapeNeededForString(x, stringLength)) {// 须要进行转译
needsQuoted = false;
buf = new StringBuffer((int)((double)x.length() * 1.1D));
buf.append('\'');// 拼接单引号开始
for(int i = 0; i < stringLength; ++i) {char c = x.charAt(i);
switch(c) {
case '\u0000':
buf.append('\\');
buf.append('0');
break;
case '\n':
buf.append('\\');
buf.append('n');
break;
case '\r':
buf.append('\\');
buf.append('r');
break;
case '\u001a':
buf.append('\\');
buf.append('Z');
break;
case '"':
if (this.usingAnsiMode) {buf.append('\\');
}
buf.append('"');
break;
case '\'':
buf.append('\\');
buf.append('\'');
break;
case '\\':
buf.append('\\');
buf.append('\\');
break;
case '¥':
case '₩':
if (this.charsetEncoder != null) {CharBuffer cbuf = CharBuffer.allocate(1);
ByteBuffer bbuf = ByteBuffer.allocate(1);
cbuf.put(c);
cbuf.position(0);
this.charsetEncoder.encode(cbuf, bbuf, true);
if (bbuf.get(0) == 92) {buf.append('\\');
}
}
default:
buf.append(c);
}
}
buf.append('\'');// 拼接单引号完结
parameterAsString = buf.toString();}
......setInt 办法也贴一下:
public void setInt(int parameterIndex, int x) throws SQLException {this.setInternal(parameterIndex, String.valueOf(x));
this.parameterTypes[parameterIndex - 1 + this.getParameterIndexOffset()] = 4;
}setString 办法中会判断是否须要转译,规范是看字符串参数里是否有 \u0000,\n,\r,\u001a,”,’,\ 这些字符。
网上说参数前拼接引号还是有点情理的,不过这个引号是在 mysql-java-connector 这个 jar 里 PreparedStatement 对象中实现的
三,数据库预编译性能
如果数据库开启了预编译性能,数据库会将须要预编译的 sql 语句 (含有占位符?) 进行预编译存储,等到接管到参数时,简略地将参数替换掉占位符,这个时候参数不会再影响已编译后的 sql 语句(知乎里对于参数化 sql 查问避免 sql 注入的探讨)— 不过感觉这些剖析有点想当然,但又不好反驳,次要是不太明确上面几点:
- mysql/jdbc 里的预编译是否与数据库层面的预编译是一回事?
- 数据库层面的预编译与设置占位符的值时是怎么的过程?
相干的一些文章:
SQL 预编译
Java JDBC 下执行 SQL 的不同形式、参数化预编译进攻
预编译的两种形式
正文完
