mybatis 3如何防止SQL注入
2015-10-06 10:27
721 查看
现在互联网时代,安全一直是一个长久不衰话题,我们经常用到各种各样的架构,模式,但我们最基础的还是要和数据库打交道,数据才是王道,所以,经常有很多盗取数据之人,故对数据的安全尤为重要。
在平常中,最常用的攻击是SQL注入攻击,会以下方式攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or ‘1’=’1’”这样的语句来实现盗取数据的目的,尤其是对校验方面经验较浅或疏于注意,不过幸好MYATIS提供了一些相对应的方式来防范。
mybatis传参数时提供了两种方式#{xxxx<, jdbcType=数据库字段类型>} 与${xxxx}, 这两者的区别在于前者mybatis将参数部分直接编译成占位符,即"?", 而后者直接编译成原生的sql语句,这将是构成sql注入的漏洞, like查询更甚,容易忽略这一点,所以,以下给出相应不同数据库的SQL语句
Mysql: select * from mytabe where cname like concat('%', #{name,jdbcType=VARCHAR}, '%')
Oracle: select * from mytable where cname like '%' || #{name, jdbcType=VARCHAR} || '%'
SQLServer: select * from mytable where cname like '%' + #{name,jdbcType=VARCHAR} + '%'
在平常中,最常用的攻击是SQL注入攻击,会以下方式攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or ‘1’=’1’”这样的语句来实现盗取数据的目的,尤其是对校验方面经验较浅或疏于注意,不过幸好MYATIS提供了一些相对应的方式来防范。
mybatis传参数时提供了两种方式#{xxxx<, jdbcType=数据库字段类型>} 与${xxxx}, 这两者的区别在于前者mybatis将参数部分直接编译成占位符,即"?", 而后者直接编译成原生的sql语句,这将是构成sql注入的漏洞, like查询更甚,容易忽略这一点,所以,以下给出相应不同数据库的SQL语句
Mysql: select * from mytabe where cname like concat('%', #{name,jdbcType=VARCHAR}, '%')
Oracle: select * from mytable where cname like '%' || #{name, jdbcType=VARCHAR} || '%'
SQLServer: select * from mytable where cname like '%' + #{name,jdbcType=VARCHAR} + '%'
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Oracle
- MySQL管理工具MySQL Utilities — 介绍与安装(1)
- mongoDB高级篇①】聚集运算之group,aggregate
- 关于sqlite3 not found
- oracle中的表空间
- 【mongoDB高级篇①】聚集运算之group,aggregate
- 今天进行2005sql server数据库还原操作时,提示备份中数据库与现有数据库不同
- MySQL的TIMEDIFF和DATEDIFF
- MySQL的TIMEDIFF和DATEDIFF
- MySQL的TIMEDIFF和DATEDIFF
- MySQL的TIMEDIFF和DATEDIFF
- MySQL的TIMEDIFF和DATEDIFF
- MySQL的TIMEDIFF和DATEDIFF
- MySQL的TIMEDIFF和DATEDIFF
- MySQL的TIMEDIFF和DATEDIFF
- MySQL的TIMEDIFF和DATEDIFF
- MySQL的TIMEDIFF和DATEDIFF
- MySQL的TIMEDIFF和DATEDIFF
- MySQL的TIMEDIFF和DATEDIFF
- MySQL的TIMEDIFF和DATEDIFF