Mybatis是这样防止sql注入的

目录

• 1、首先看一下下面两个sql语句的区别：
• 2、什么是sql注入
• 3、mybatis是如何做到防止sql注入的
• 4、参考文章

1、首先看一下下面两个sql语句的区别：

<select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap">
select id, username, password, role
from user
where username = #{username,jdbcType=VARCHAR}
and password = #{password,jdbcType=VARCHAR}
</select>

<select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap">
select id, username, password, role
from user
where username = ${username,jdbcType=VARCHAR}
and password = ${password,jdbcType=VARCHAR}
</select>

mybatis中的#和$的区别：

• 1、#将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。
  如：where username=#{username}，如果传入的值是111,那么解析成sql时的值为where username="111", 如果传入的值是id，则解析成的sql为where username="id".　
• 2、$将传入的数据直接显示生成在sql中。
  如：where username=${username}，如果传入的值是111,那么解析成sql时的值为where username=111；
  如果传入的值是;drop table user;，则解析成的sql为：select id, username, password, role from user where username=;drop table user;
• 3、#方式能够很大程度防止sql注入，$方式无法防止Sql注入。
• 4、$方式一般用于传入数据库对象，例如传入表名.
• 5、一般能用#的就别用$，若不得不使用“${xxx}”这样的参数，要手工地做好过滤工作，来防止sql注入攻击。
• 6、在MyBatis中，“${xxx}”这样格式的参数会直接参与SQL编译，从而不能避免注入攻击。但涉及到动态表名和列名时，只能使用“${xxx}”这样的参数格式。所以，这样的参数需要我们在代码中手工进行处理来防止注入。

【结论】在编写MyBatis的映射语句时，尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数，要手工地做好过滤工作，来防止SQL注入攻击。

2、什么是sql注入

sql注入解释：是一种代码注入技术，用于攻击数据驱动的应用，恶意的SQL语句被插入到执行的实体字段中（例如，为了转储数据库内容给攻击者）

阅读剩余部分

相关阅读 >>

sql语句删除数据的方法

c#的sql操作类实例

navicat怎么运行sql语句

在asp.net 2.0中操作数据之四十六：使用sqldatasource控件检索数据

mybatis自定义sql的关系映射、分页、排序功能的实现

sqlserver sql性能优化技巧

介绍十步完全理解 sql

mysql数据库索引orderby排序精讲

sql server 2008完全卸载方法(其他版本类似)第22页

详解sql中group by的用法

更多相关阅读请进入《sql》频道 >>

书籍

数据库系统概念 第6版

￥41.1元   机械工业出版社

本书主要讲述了数据模型、基于对象的数据库和XML、数据存储和查询、事务管理、体系结构等方面的内容。

转载请注明出处：木庄网络博客 » Mybatis是这样防止sql注入的