共计 1280 个字符,预计需要花费 4 分钟才能阅读完成。
sql 注入产生的工夫,sql 注入产生的阶段在 sql 预编译阶段,当编译实现的 sql 不会产生 sql 注入
一、采纳 jdbc 操作数据时候
String sql = “update ft_proposal set id = “+id;
PreparedStatement prepareStatement = conn.prepareStatement(sql);
prepareStatement.executeUpdate();复制代码
preparedStatement 预编译对象会对传入 sql 进行预编译,那么当传入 id 字符串为 “update ft_proposal set id = 3;drop table ft_proposal;” 这种状况下就会导致 sql 注入删除 ft_proposal 这张表。
如何避免 sql 注入,首先将要执行 sql 进行预编译,而后在将占位符进行替换
String sql = “update ft_proposal set id = ?”
PreparedStatement ps = conn.preparedStatement(sql);
ps.setString(1,”2″);
ps.executeUpdate();
复制代码
解决应用预编译语句之外,java 培训另一种实现形式能够采纳存储过程,存储过程其实也是预编译的,存储过程是 sql 语句的汇合,将所有预编译的 sql 语句编译实现后,存储在数据库上,因为存储过程比拟死板个别不采纳这种形式进行解决。
二、mybatis 是如何解决 sql 注入的?
假如 mapper.xml 文件中 sql 查问语句为:
<select id=”findById” resultType=”String”>
select name from user where id = #{userid};</select>
复制代码
对应的接口为:
public String findById(@param(“userId”)String userId);
复制代码
当传入的参数为 3;drop table user; 当咱们执行时能够看见打印的 sql 语句为:
select name from usre where id = ?;
不论输出何种参数时,都能够避免 sql 注入,因为 mybatis 底层实现了预编译,底层通过 prepareStatement 预编译实现类对以后传入的 sql 进行了预编译,这样就能够避免 sql 注入了。
如果将查问语句改写为:
<select id=”findById” resultType = “String”>
select name from user where id=${userid}
</select>
复制代码
当输出参数为 3;drop table user; 执行 sql 语句为
select name from user where id = 3;drop table user ;
复制代码
mybatis 没有进行预编译语句,它先进行了字符串拼接,而后进行了预编译。这个过程就是 sql 注入失效的过程。
因而在编写 mybatis 的映射语句时,尽量采纳“#{xxx}”这样的格局。若不得不应用“${xxx}”这样的参数,要手工地做好过滤工作,来避免 sql 注入攻打。
关键词:java 培训
