日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
mybatis如何防止SQL注入?

一、采用jdbc操作數(shù)據(jù)時候

成都創(chuàng)新互聯(lián)公司于2013年開始,是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司,擁有項目成都做網(wǎng)站、網(wǎng)站建設(shè)網(wǎng)站策劃,項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命,1280元鳩江做網(wǎng)站,已為上家服務(wù),為鳩江各地企業(yè)和個人服務(wù),聯(lián)系電話:13518219792

 
 
 
      
  
  
  1. String sql = "update ft_proposal set id = "+id; 
    2.   
  
  
  2.         PreparedStatement prepareStatement = conn.prepareStatement(sql); 
    3.   
  
  
  3.         prepareStatement.executeUpdate(); 
    4.

preparedStatement 預(yù)編譯對象會對傳入sql進(jìn)行預(yù)編譯,那么當(dāng)傳入id 字符串為 "update ft_proposal set id = 3;drop table ft_proposal;" 這種情況下就會導(dǎo)致sql注入刪除ft_proposal這張表。

如何防止sql注入,首先將要執(zhí)行sql進(jìn)行預(yù)編譯,然后在將占位符進(jìn)行替換

 
 
 
      
  
  
  1. String sql = "update ft_proposal set id = ?" 
    2.   
  
  
  2. PreparedStatement ps = conn.preparedStatement(sql); 
    3.   
  
  
  3. ps.setString(1,"2"); 
    4.   
  
  
  4. ps.executeUpdate(); 
    5.

處理使用預(yù)編譯語句之外,另一種實現(xiàn)方式可以采用存儲過程,存儲過程其實也是預(yù)編譯的,存儲過程是sql語句的集合,將所有預(yù)編譯的sql 語句編譯完成后,存儲在數(shù)據(jù)庫上,

由于存儲過程比較死板一般不采用這種方式進(jìn)行處理。

二、mybatis是如何處理sql注入的?

假設(shè)mapper.xml文件中sql查詢語句為:

 
 
 
      
  
  
  1.  
    2.   
  
  
  2.     select name from user where id = #{userid}; 
    3.   
  
  
  3.  
    4.

對應(yīng)的接口為:

 
 
 
      
  
  
  1. public String findById(@param("userId")String userId); 
    2.

當(dāng)傳入的參數(shù)為3;drop table user; 當(dāng)我們執(zhí)行時可以看見打印的sql語句為:

select name from usre where id = ?;

不管輸入何種參數(shù)時,都可以防止sql注入,因為mybatis底層實現(xiàn)了預(yù)編譯,底層通過prepareStatement預(yù)編譯實現(xiàn)類對當(dāng)前傳入的sql進(jìn)行了預(yù)編譯,這樣就可以防止sql注入了。

如果將查詢語句改寫為:

 
 
 
      
  
  
  1.  
    2.   
  
  
  2. select name from user where id=${userid} 
    3.   
  
  
  3.  
    4.

當(dāng)輸入?yún)?shù)為3;drop table user; 執(zhí)行sql語句為

 
 
 
      
  
  
  1. select name from user where id = 3;drop table user ; 
    2.

mybatis沒有進(jìn)行預(yù)編譯語句,它先進(jìn)行了字符串拼接,然后進(jìn)行了預(yù)編譯。這個過程就是sql注入生效的過程。

因此在編寫mybatis的映射語句時,盡量采用“#{xxx}”這樣的格式。若不得不使用“${xxx}”這樣的參數(shù),要手工地做好過濾工作,來防止sql注入攻擊。


網(wǎng)站標(biāo)題:mybatis如何防止SQL注入?
瀏覽地址:http://www.5511xx.com/article/cdccgec.html