Java Mybatis防止sql注入分析-java教程-PHP中文網

首頁

Java

java教程

Java Mybatis防止sql注入分析

巴扎黑

Aug 09, 2017 pm 05:56 PM

javamybatis分析

本文透過實例介紹了Mybatis防止sql注入的相關資料,非常不錯，具有參考借鑒價值，需要的朋友可以參考下

sql注入大家都不陌生，是一種常見的攻擊方式，攻擊者在介面的表單資訊或url上輸入一些奇怪的sql片段，例如「or '1'='1'」這樣的語句，有可能入侵參數校驗不足的應用程式。所以在我們的應用上需要做一些工作，來防備這樣的攻擊方式。在一些安全性很高的應用中，例如銀行軟體，經常使用將sql語句全部替換為預存程序這樣的方式，來防止sql注入，這當然是一種很安全的方式，但我們平時開發中，可能不需要這種死板的方式。

mybatis框架作為一款半自動化的持久層框架，其sql語句都要我們自己來手動編寫，這時候當然需要防止sql注入。其實Mybatis的sql是一個具有「輸入+輸出」功能，類似函數的結構，如下：

<select id="getBlogById" resultType="Blog" parameterType=”int”>
  select id,title,author,content
  from blog where id=#{id}
 </select>

這裡，parameterType標示了輸入的參數類型，resultType標示了輸出的參數類型。回應上文，如果我們想防止sql注入，理所當然地要在輸入參數上下功夫。上面程式碼中高亮部分即輸入參數在sql中拼接的部分，傳入參數後，印出執行的sql語句，會看到sql是這樣的：

select id,title,author,content from blog where id = ?

不管輸入什麼參數，列印出來的sql都是這樣的。這是因為mybatis啟用了預編譯功能，在sql執行前，會先將上面的sql傳送給資料庫編譯，執行時，直接使用編譯好的sql，取代佔位符「？」就可以了。因為sql注入只能對編譯過程起作用，所以這樣的方式就很好地避免了sql注入的問題。

mybatis是如何做到sql預編譯的呢？其實在框架底層，是jdbc中的PreparedStatement類別在運作，PreparedStatement是我們很熟悉的Statement的子類，它的物件包含了編譯好的sql語句。這種「準備好」的方式不僅能提高安全性，而且在多次執行一個sql時，能夠提高效率，原因是sql已編譯好，再次執行時無需再編譯。

話說回來，是否我們使用mybatis就一定可以防止sql注入呢？當然不是，請看下面的程式碼：

<select id="orderBlog" resultType="Blog" parameterType=”map”>
  select id,title,author,content
  from blog order by ${orderParam}
 </select>

仔細觀察，內聯參數的格式由「#{xxx}」變成${xxx}。如果我們將參數「orderParam」賦值為」id」,將sql印出來，是這樣的：

select id,title,author,content from blog order by id

# 顯然，這樣是無法阻止sql注入的。在mybatis中，」${xxx}」這樣格式的參數會直接參與sql編譯，因此無法避免注入攻擊。但涉及動態表名和列名時，只能使用「${xxx}」這樣的參數格式，所以，這樣的參數需要我們在程式碼中手動處理來防止注入。

結論：在寫出mybatis的映射語句時，盡量採用「#{xxx}」這樣的格式。若不得不使用「${xxx}」這樣的參數，要手工地做好過濾工作，以防止sql注入攻擊。

以上是Java Mybatis防止sql注入分析的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

是否有任何威脅或增強Java平台獨立性的新興技術？Apr 24, 2025 am 12:11 AM

新興技術對Java的平台獨立性既有威脅也有增強。 1)雲計算和容器化技術如Docker增強了Java的平台獨立性，但需要優化以適應不同雲環境。 2)WebAssembly通過GraalVM編譯Java代碼，擴展了其平台獨立性，但需與其他語言競爭性能。

JVM的實現是什麼，它們都提供了相同的平台獨立性？Apr 24, 2025 am 12:10 AM

不同JVM實現都能提供平台獨立性，但表現略有不同。 1.OracleHotSpot和OpenJDKJVM在平台獨立性上表現相似，但OpenJDK可能需額外配置。 2.IBMJ9JVM在特定操作系統上表現優化。 3.GraalVM支持多語言，需額外配置。 4.AzulZingJVM需特定平台調整。

平台獨立性如何降低發展成本和時間？Apr 24, 2025 am 12:08 AM

平台獨立性通過在多種操作系統上運行同一套代碼，降低開發成本和縮短開發時間。具體表現為：1.減少開發時間，只需維護一套代碼；2.降低維護成本，統一測試流程；3.快速迭代和團隊協作，簡化部署過程。

Java的平台獨立性如何促進代碼重用？Apr 24, 2025 am 12:05 AM

Java'splatformindependencefacilitatescodereusebyallowingbytecodetorunonanyplatformwithaJVM.1)Developerscanwritecodeonceforconsistentbehavioracrossplatforms.2)Maintenanceisreducedascodedoesn'tneedrewriting.3)Librariesandframeworkscanbesharedacrossproj

您如何在Java應用程序中對平台特定問題進行故障排除？Apr 24, 2025 am 12:04 AM

要解決Java應用程序中的平台特定問題，可以採取以下步驟：1.使用Java的System類查看系統屬性以了解運行環境。 2.利用File類或java.nio.file包處理文件路徑。 3.根據操作系統條件加載本地庫。 4.使用VisualVM或JProfiler優化跨平台性能。 5.通過Docker容器化確保測試環境與生產環境一致。 6.利用GitHubActions在多個平台上進行自動化測試。這些方法有助於有效地解決Java應用程序中的平台特定問題。