首页 > 数据库

浅谈为什么#{}可以防止SQL注入

来自:网络
时间:2022-05-10
阅读:
目录

#{} 和 ${} 的区别

#{} 匹配的是一个占位符,相当于 JDBC 中的一个?,会对一些敏感字符进行过滤,编译过后会对传递的值加上双引号,因此可以防止 SQL 注入问题。

${} 匹配的是真实传递的值,传递过后,会与 SQL 语句进行字符串拼接。${} 会与其他 SQL 进行字符串拼接,无法防止 SQL 注入问题。

<mapper namespace="com.gitee.shiayanga.mybatis.wildcard.dao.UserDao">
    <select id="findByUsername" resultType="com.gitee.shiayanga.mybatis.wildcard.entity.User" parameterType="string">
        select * from user where username like #{userName}
    </select>
    <select id="findByUsername2" resultType="com.gitee.shiayanga.mybatis.wildcard.entity.User" parameterType="string">
        select * from user where username like '%${userName}%'
    </select>
</mapper>
==>  Preparing: select * from user where username like ?
==> Parameters: '%小%' or 1=1 --(String)
<==      Total: 0
==>  Preparing: select * from user where username like '%aaa' or 1=1 -- %'
==> Parameters: 
<==      Total: 4

#{} 底层是如何防止 SQL 注入的?

  • #{} 底层采用的是 PreparedStatement,因此不会产生 SQL 注入问题
  • #{} 不会产生字符串拼接,而 ${} 会产生字符串拼接

为什么能防止SQL注入?

以MySQL为例,#{} 使用的是 com.mysql.cj.ClientPreparedQueryBindings#setString 方法,在这里会对一些特殊字符进行处理:

public void setString(int parameterIndex, String x) {
        if (x == null) {
            setNull(parameterIndex);
        } else {
            int stringLength = x.length();

            if (this.session.getServerSession().isNoBackslashEscapesSet()) {
                // Scan for any nasty chars

                boolean needsHexEscape = isEscapeNeededForString(x, stringLength);

                if (!needsHexEscape) {
                    StringBuilder quotedString = new StringBuilder(x.length() + 2);
                    quotedString.append('\'');
                    quotedString.append(x);
                    quotedString.append('\'');

                    byte[] parameterAsBytes = this.isLoadDataQuery ? StringUtils.getBytes(quotedString.toString())
                            : StringUtils.getBytes(quotedString.toString(), this.charEncoding);
                    setValue(parameterIndex, parameterAsBytes, MysqlType.VARCHAR);

                } else {
                    byte[] parameterAsBytes = this.isLoadDataQuery ? StringUtils.getBytes(x) : StringUtils.getBytes(x, this.charEncoding);
                    setBytes(parameterIndex, parameterAsBytes);
                }

                return;
            }

            String parameterAsString = x;
            boolean needsQuoted = true;

            if (this.isLoadDataQuery || isEscapeNeededForString(x, stringLength)) {
                needsQuoted = false; // saves an allocation later

                StringBuilder buf = new StringBuilder((int) (x.length() * 1.1));

                buf.append('\'');

                //
                // Note: buf.append(char) is _faster_ than appending in blocks, because the block append requires a System.arraycopy().... go figure...
                //

                for (int i = 0; i < stringLength; ++i) {
                    char c = x.charAt(i);

                    switch (c) {
                        case 0: /* Must be escaped for 'mysql' */
                            buf.append('\\');
                            buf.append('0');
                            break;
                        case '\n': /* Must be escaped for logs */
                            buf.append('\\');
                            buf.append('n');
                            break;
                        case '\r':
                            buf.append('\\');
                            buf.append('r');
                            break;
                        case '\\':
                            buf.append('\\');
                            buf.append('\\');
                            break;
                        case '\'':
                            buf.append('\'');
                            buf.append('\'');
                            break;
                        case '"': /* Better safe than sorry */
                            if (this.session.getServerSession().useAnsiQuotedIdentifiers()) {
                                buf.append('\\');
                            }
                            buf.append('"');
                            break;
                        case '\032': /* This gives problems on Win32 */
                            buf.append('\\');
                            buf.append('Z');
                            break;
                        case '\u00a5':
                        case '\u20a9':
                            // escape characters interpreted as backslash by mysql
                            if (this.charsetEncoder != null) {
                                CharBuffer cbuf = CharBuffer.allocate(1);
                                ByteBuffer bbuf = ByteBuffer.allocate(1);
                                cbuf.put(c);
                                cbuf.position(0);
                                this.charsetEncoder.encode(cbuf, bbuf, true);
                                if (bbuf.get(0) == '\\') {
                                    buf.append('\\');
                                }
                            }
                            buf.append(c);
                            break;

                        default:
                            buf.append(c);
                    }
                }

                buf.append('\'');

                parameterAsString = buf.toString();
            }

            byte[] parameterAsBytes = this.isLoadDataQuery ? StringUtils.getBytes(parameterAsString)
                    : (needsQuoted ? StringUtils.getBytesWrapped(parameterAsString, '\'', '\'', this.charEncoding)
                            : StringUtils.getBytes(parameterAsString, this.charEncoding));

            setValue(parameterIndex, parameterAsBytes, MysqlType.VARCHAR);
        }
    }

所以 '%小%' or 1=1 --  经过处理之后就变成了 '''%小%'' or 1=1 --'

而 ${} 只是简单的拼接字符串,不做其他处理。

这样,它们就变成了:

-- %aaa' or 1=1 --
select * from user where username like '%aaa' or 1=1 -- %'

-- '%小%' or 1=1 --
select * from user where username like '''%小%'' or 1=1 --'

所以就避免了 SQL 注入的风险。

最新文章 相关文章

MySQL大小写敏感的处理方式

MySQL大小写敏感的处理方式及代码示例MySQL是一种常用的关系型数据库管理系统,它在处理大小写敏感的问题时需要特别注意。在MySQL中,默认情况下是大小写不敏感的,即不区分大小

2024-03-15 21:10:08

MySQL触发器的定义与使用方法详解

MySQL触发器的定义与使用方法详解MySQL触发器是一种特殊的存储过程,可以在表发生特定事件时自动执行。触发器可以用于实现 数据的自动化处理、数据一致性维护等功能。本文将

2024-03-15 21:09:41

MySQL触发器的定义与使用方法详解

MySQL触发器的定义与使用方法详解MySQL触发器是一种特殊的存储过程,可以在表发生特定事件时自动执行。触发器可以用于实现 数据的自动化处理、数据一致性维护等功能。本文将

2024-03-15 21:09:41

MySQL数据库中外键的作用及用法详解

MySQL数据库中外键的作用及用法详解在MySQL数据库中,外键是用来建立表与表之间关联的重要工具,它能够确保数据完整性,并且提供了一种方式来维护表与表之间的关系。本文将详细介

2024-03-15 21:09:25

MySQL UPDATE语句是否会导致表被锁定?

MySQL UPDATE语句是否会导致表被锁定?MySQL 是一个流行的关系型数据库管理系统,广泛用于各种应用程序中。在数据库操作中,UPDATE 语句用于更新表中的数据。但是,一个常见的问题

2024-03-15 21:09:08

深入理解MySQL中的布尔类型

MySQL中的布尔类型是一种非常实用的数据类型,它用于存储逻辑值,只能取两种值:TRUE或FALSE。在MySQL中,布尔类型也被称为BOOL或BOOLEAN,可以用TINYINT(1)来表示。在本文中,我们将深

2024-03-15 21:08:53

如何设计合理的 MySQL 复合主键?

如何设计合理的 MySQL 复合主键?在数据库设计中,主键是一项非常重要的概念,它可以帮助我们唯一地标识每一行数据。在 MySQL 中,我们可以选择使用单一主键或者复合主键。复合主键

2024-03-15 21:08:36

MySQL数据库中unique索引的优势及应用场景

MySQL数据库中unique索引的优势及应用场景在MySQL数据库中,unique索引是一种特殊的索引,它可以保证列中的值是唯一的。在实际应用中,unique索引具有许多优势,并且适用于多种场景

2024-03-15 21:08:22

理解MySQL时间戳:功能、特性与应用场景

MySQL 时间戳是一个十分重要的数据类型,它可以存储日期、时间或者日期加时间。在实际的开发过程中,合理地使用时间戳可以提高数据库操作的效率,并且方便进行时间相关的查询和计

2024-03-15 21:08:05

MySQL数据库中的unique索引:用法与注意事项

MySQL数据库中的unique索引:用法与注意事项MySQL是一种非常流行的开源关系型数据库管理系统,可以用于存储和管理大量的数据。在MySQL中,我们经常会使用索引来提高数据的检索和

2024-03-15 21:07:48

深入解析MySQL.proc表的结构及用途

MySQL.proc表是MySQL数据库中存储存储过程和函数信息的系统表,通过深入了解其结构及用途,可以更好地理解存储过程和函数在MySQL中的运行机制,并进行相关的管理和优化。下面将详

2024-03-15 21:07:32

如何利用MySQL触发器实现数据库操作自动化

在数据库管理中,触发器是一种强大的工具,能够帮助我们实现数据库操作的自动化。MySQL作为一款广泛应用的开源数据库管理系统,也提供了触发器功能,我们可以利用MySQL触发器来实现

2024-03-15 21:07:14

MYSQL 是如何保证binlog 和redo log同时提交的?

MYSQL 一个事务在提交的时候能够保证binlog和redo log是同时提交的,并且能在宕机恢复后保持binlog 和redo log的一致性。先来看看什么是redo log 和binlog,以及为什么要保持它

2024-03-15 00:54:55

mysql for update是锁表还是锁行

转载至我的博客 https://www.infrastack.cn ,公众号:架构成长指南在并发一致性控制场景中,我们常常用for update悲观锁来进行一致性的保证,但是如果不了解它的机制,就进行使用,很

2024-03-13 00:03:43

Redis稳定性之战:AOF日志支撑数据持久化

1 介绍AOF(Append Only File)持久化:以独立日志的方式存储了 Redis 服务器的顺序指令序列,并只记录对内存进行修改的指令。
当Redis服务发生雪崩等故障时,可以重启服务并重新执行

2024-03-12 12:07:28

Redis 架构深入:主从复制、哨兵到集群

大家好,我是小康,今天我们来聊下 Redis 的几种架构模式,包括主从复制、哨兵和集群模式。前言:设想一下,你的咖啡馆在城市中太受欢迎,导致每天都人满为患。为了缓解这种压力,你决定

2024-03-11 00:01:36

全面解析 Redis 持久化:RDB、AOF与混合持久化

前言:每次你在游戏中看到玩家排行榜,或者在音乐应用中浏览热门歌单,有没有想过这个排行榜是如何做到实时更新的?当然,依靠 Redis 即可做到。在技术领域,我们经常听到「键值存储」

2024-03-11 00:00:34

Redis 常见数据类型(对象类型)和应用案列

前言:每次你在游戏中看到玩家排行榜,或者在音乐应用中浏览热门歌单,有没有想过这个排行榜是如何做到实时更新的?当然,依靠 Redis 即可做到。在技术领域,我们经常听到「键值存储」

2024-03-10 23:58:29

Oracle数据库中修改系统日期方法详解

Oracle数据库中修改系统日期方法详解在Oracle数据库中,修改系统日期的方法主要涉及到修改NLS_DATE_FORMAT参数和使用SYSDATE函数。本文将详细介绍这两种方法及其具体的代码示

2024-03-09 23:16:03

解决Oracle错误3114的有效方法分享

解决Oracle错误3114的有效方法分享,需要具体代码示例Oracle数据库是常用的企业级关系型数据库管理系统,但在使用过程中经常会遇到各种错误。其中,错误3114是一个比较常见的错误

2024-03-09 23:15:49

解决Oracle中空表无法成功导出的技巧

解决Oracle中空表无法成功导出的技巧在Oracle数据库中,有时候在导出数据时会遇到空表无法成功导出的问题。这种情况可能会给数据库管理员带来一定的困扰,因为即使表中没有数据

2024-03-09 23:15:34

如何提升Oracle DBA的权限管理技巧

如何提升Oracle DBA的权限管理技巧在Oracle数据库管理中,权限管理是至关重要的一项工作。作为一名Oracle DBA,掌握权限管理技巧能够有效地保护数据库的安全性,保障数据的完整性

2024-03-09 23:15:18

Oracle数据库开发:编写存储过程判断表是否存在

在Oracle数据库开发中,编写存储过程来判断表是否存在是一项常见的任务。在数据库开发中,存储过程是一段预先编译的代码块,用于实现特定的功能或逻辑。通过编写存储过程来判断表

2024-03-09 23:15:03

Oracle数据库中Blob和Clob的区别及使用场景详解

在Oracle数据库中,Blob和Clob是两种用于存储大数据类型的数据字段。Blob代表二进制大对象(Binary Large Object),通常用于存储二进制数据,例如图片、音频、视频等;而Clob代表字符

2024-03-09 23:14:46

从不同角度看Sybase和Oracle数据库的异同

Sybase和Oracle都是在企业级数据库领域备受青睐的两大数据库管理系统。它们在功能、性能、可靠性等方面都有各自的优势,并且在实际应用中常常被广泛使用。本文将从不同角度来

2024-03-09 23:14:27

Oracle LPAD函数实例演示:学会利用LPAD函数处理字符串对齐

Oracle中的LPAD函数是用来在字符串左侧填充特定字符,使字符串达到指定长度的函数。在实际应用中,LPAD函数常用于处理字符串对齐的需求,尤其是在数据库查询结果展示或报表生成过

2024-03-09 23:14:11

Oracle存储过程:判断表是否存在的实现方法

Oracle数据库中存储过程是一种特定类型的存储过程,用于在数据库中执行一系列的SQL语句和数据操作。在实际的数据库开发工作中,有时候我们需要判断某个表是否存在于数据库中,这

2024-03-09 23:13:57

Oracle数据库中Blob和Clob数据类型的差异及优劣势分析

Blob和Clob是Oracle数据库中两种常见的数据类型,用于存储大量的二进制数据和字符数据。本文将分析Blob和Clob数据类型的差异,并从各自的优势和劣势进行比较。一、Blob数据类型

2024-03-09 23:13:42

Oracle数据库中空表导出遇到困难时的应对策略

空表导出是数据库管理中常见的操作,但有时候遇到空表导出却遇到了困难,这时候我们需要使用一些特定的策略和技巧来解决问题。在Oracle数据库中,空表导出的困难通常出现在导出后

2024-03-09 23:13:28

Oracle LPAD函数示例:如何在字符串左侧填充指定字符

Oracle数据库中的LPAD函数是一种用于在字符串左侧填充指定字符的函数,可以帮助我们对字符串进行格式化处理。LPAD函数的语法为:LPAD(要填充的字符串,总长度,填充字符)。接下来

2024-03-09 23:13:13

热点内容

PHP连接MongoDB数据库报错“No suitable servers found (`serverSelectionTryOnce` se
2018-08-19
解决Failed to set session cookie. Maybe you are using HTTP instead of HTTPS to a
2020-03-22
解决Job for mysqld.service failed because the control process exited with error
2020-03-22
Navicat for MySQL 15注册激活详细教程
2020-12-17
解决MySQL8 #1227 – Access denied; you need (at least one of) the SYSTEM_USER pr
2020-03-22
mysql workbench怎么设置为中文?
2020-10-15
Failed to open file ''****.sql'', error: 2的解决方案
2021-01-28
解决 SQLSTATE[HY000] [2054] The server requested authentication method unknown t
2020-03-22
MySQL8.0.23安装超详细教程
2021-01-21
mysql数据库mysql: [ERROR] unknown option '--skip-grant-tables'
2020-10-28
返回顶部
顶部