当前位置:首页 > 文章列表 > 数据库 > MySQL > mybatis里防止sql注入的一点内容

mybatis里防止sql注入的一点内容

来源:SegmentFault 2023-02-24 17:44:54 0浏览 收藏

有志者,事竟成!如果你在学习数据库,那么本文《mybatis里防止sql注入的一点内容》,就很适合你!文章讲解的知识点主要包括MySQL、Java,若是你对本文感兴趣,或者是想搞懂其中某个知识点,就请你继续往下看吧~

防止sql注入相关的一些过程:
1,mybatis解析sql文件里的#-->2,jdbc预编译时与数据库交互-->3,jdbc设置值时与数据库交互

一,mybatis将#符号解析成占位符'?'

先看对$符号:

public String handleToken(String content) {
        Object parameter = context.getBindings().get("_parameter");
        if (parameter == null) {
          context.getBindings().put("value", null);
        } else if (SimpleTypeRegistry.isSimpleType(parameter.getClass())) {
          context.getBindings().put("value", parameter);
        }
        Object value = OgnlCache.getValue(content, context.getBindings());
        return (value == null ? "" : String.valueOf(value)); // issue #274 return "" instead of "null"
     }

再看看#符号:

public String handleToken(String content) {
      parameterMappings.add(buildParameterMapping(content));
       return "?";//#符号则会返回占位符?
     }

二,PreparedStatement设置参数时的处理

mybatis底层仍依赖的是jdbc,我们再来看看com.mysql.jdbc.PreparedStatement在设置参数时的逻辑:

public synchronized void setString(int parameterIndex, String x) throws SQLException {
        if (x == null) {
            this.setNull(parameterIndex, 1);
        } else {
            this.checkClosed();
            int stringLength = x.length();
            StringBuffer buf;
            //判断是否需要转译
            if (this.connection.isNoBackslashEscapesSet()) {
                boolean needsHexEscape = this.isEscapeNeededForString(x, stringLength);
                Object parameterAsBytes;
                byte[] parameterAsBytes;
                if (!needsHexEscape) {
                    parameterAsBytes = null;
                    buf = new StringBuffer(x.length() + 2);
                    //在参数前后加单引号
                    buf.append('\'');
                    buf.append(x);
                    buf.append('\'');
            ......
            ......
            String parameterAsString = x;
            boolean needsQuoted = true;
            if (this.isLoadDataQuery || this.isEscapeNeededForString(x, stringLength)) {//需要进行转译
                needsQuoted = false;
                buf = new StringBuffer((int)((double)x.length() * 1.1D));
                buf.append('\'');//拼接单引号开始

                for(int i = 0; i 

setInt方法也贴一下:

public void setInt(int parameterIndex, int x) throws SQLException {
        this.setInternal(parameterIndex, String.valueOf(x));
        this.parameterTypes[parameterIndex - 1 + this.getParameterIndexOffset()] = 4;
    }

setString方法中会判断是否需要转译,标准是看字符串参数里是否有\u0000,\n,\r,\u001a,",',\这些字符。
网上说参数前拼接引号还是有点道理的,不过这个引号是在mysql-java-connector这个jar里PreparedStatement对象中完成的

三,数据库预编译功能
如果数据库开启了预编译功能,数据库会将需要预编译的sql语句(含有占位符?)进行预编译存储,等到接收到参数时,简单地将参数替换掉占位符,这个时候参数不会再影响已编译后的sql语句(知乎里关于参数化sql查询防止sql注入的讨论)---不过感觉这些分析有点想当然,但又不好反驳,主要是不太明白下面几点:

  1. mysql/jdbc里的预编译是否与数据库层面的预编译是一回事?
  2. 数据库层面的预编译与设置占位符的值时是怎样的过程?

针对SQL注入问题,如果使用的是mybatis我们一般使用#{}作为占位符,对于like操作我们可以使用如下写法:

@PostMapping("test")

public List test(@RequestParam("names") List<string> names) {

    return userDataMapper.findByNamesRight(names);

}

&lt;select id=&quot;findByNamesRight&quot; resulttype=&quot;org.study.UserData&quot;&gt;

    SELECT id,name FROM `userdata` WHERE name in

    <foreach collection="names" item="item" open="(" separator="," close=")">

        #{item}

    </foreach>&lt;/select&gt;</string>

相关的一些文章:
SQL预编译
Java JDBC下执行SQL的不同方式、参数化预编译防御
预编译的两种方式

本篇关于《mybatis里防止sql注入的一点内容》的介绍就到此结束啦,但是学无止境,想要了解学习更多关于数据库的相关知识,请关注golang学习网公众号!

版本声明
本文转载于:SegmentFault 如有侵犯,请联系study_golang@163.com删除
架构师必备:MySQL主从延迟解决办法架构师必备:MySQL主从延迟解决办法
上一篇
架构师必备:MySQL主从延迟解决办法
Django orm 批量更新操作对应的 SQL 语句(Mysql)
下一篇
Django orm 批量更新操作对应的 SQL 语句(Mysql)
查看更多
最新文章
查看更多
课程推荐
  • 前端进阶之JavaScript设计模式
    前端进阶之JavaScript设计模式
    设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
    542次学习
  • GO语言核心编程课程
    GO语言核心编程课程
    本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
    511次学习
  • 简单聊聊mysql8与网络通信
    简单聊聊mysql8与网络通信
    如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
    498次学习
  • JavaScript正则表达式基础与实战
    JavaScript正则表达式基础与实战
    在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
    487次学习
  • 从零制作响应式网站—Grid布局
    从零制作响应式网站—Grid布局
    本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
    484次学习
查看更多
AI推荐
  • 千音漫语:智能声音创作助手,AI配音、音视频翻译一站搞定!
    千音漫语
    千音漫语,北京熠声科技倾力打造的智能声音创作助手,提供AI配音、音视频翻译、语音识别、声音克隆等强大功能,助力有声书制作、视频创作、教育培训等领域,官网:https://qianyin123.com
    510次使用
  • MiniWork:智能高效AI工具平台,一站式工作学习效率解决方案
    MiniWork
    MiniWork是一款智能高效的AI工具平台,专为提升工作与学习效率而设计。整合文本处理、图像生成、营销策划及运营管理等多元AI工具,提供精准智能解决方案,让复杂工作简单高效。
    476次使用
  • NoCode (nocode.cn):零代码构建应用、网站、管理系统,降低开发门槛
    NoCode
    NoCode (nocode.cn)是领先的无代码开发平台,通过拖放、AI对话等简单操作,助您快速创建各类应用、网站与管理系统。无需编程知识,轻松实现个人生活、商业经营、企业管理多场景需求,大幅降低开发门槛,高效低成本。
    497次使用
  • 达医智影:阿里巴巴达摩院医疗AI影像早筛平台,CT一扫多筛癌症急慢病
    达医智影
    达医智影,阿里巴巴达摩院医疗AI创新力作。全球率先利用平扫CT实现“一扫多筛”,仅一次CT扫描即可高效识别多种癌症、急症及慢病,为疾病早期发现提供智能、精准的AI影像早筛解决方案。
    519次使用
  • 智慧芽Eureka:更懂技术创新的AI Agent平台,助力研发效率飞跃
    智慧芽Eureka
    智慧芽Eureka,专为技术创新打造的AI Agent平台。深度理解专利、研发、生物医药、材料、科创等复杂场景,通过专家级AI Agent精准执行任务,智能化工作流解放70%生产力,让您专注核心创新。
    505次使用
微信登录更方便
  • 密码登录
  • 注册账号
登录即同意 用户协议隐私政策
返回登录
  • 重置密码