MyBatis怎么防止SQL注入

Posted 2023-05-12

参考技术A sql注入大家都不陌生，是一种常见的攻击方式，攻击者在界面的表单信息或url上输入一些奇怪的sql片段，例如“or ‘1’=’1’”这样的语句，有可能入侵参数校验不足的应用程序。所以在我们的应用中需要做一些工作，来防备这样的攻击方式。在一些安全性很高的应用中，比如银行软件，经常使用将sql语句全部替换为存储过程这样的方式，来防止sql注入，这当然是一种很安全的方式，但我们平时开发中，可能不需要这种死板的方式。
mybatis框架作为一款半自动化的持久层框架，其sql语句都要我们自己来手动编写，这个时候当然需要防止sql注入。其实Mybatis的sql是一个具有“输入+输出”功能，类似于函数的结构，如下：
<select id=“getBlogById“ resultType=“Blog“
parameterType=”int”>
select id,title,author,content
from blog where id=#id
</select>
这里，parameterType标示了输入的参数类型，resultType标示了输出的参数类型。回应上文，如果我们想防止sql注入，理所当然地要在输入参数上下功夫。上面代码中高亮部分即输入参数在sql中拼接的部分，传入参数后，打印出执行的sql语句，会看到sql是这样的：
select
id,title,author,content from blog where id = ?
不管输入什么参数，打印出的sql都是这样的。这是因为mybatis启用了预编译功能，在sql执行前，会先将上面的sql发送给数据库进行编译，执行时，直接使用编译好的sql，替换占位符“？”就可以了。因为sql注入只能对编译过程起作用，所以这样的方式就很好地避免了sql注入的问题。
mybatis是如何做到sql预编译的呢？其实在框架底层，是jdbc中的PreparedStatement类在起作用，PreparedStatement是我们很熟悉的Statement的子类，它的对象包含了编译好的sql语句。这种“准备好”的方式不仅能提高安全性，而且在多次执行一个sql时，能够提高效率，原因是sql已编译好，再次执行时无需再编译。
话说回来，是否我们使用mybatis就一定可以防止sql注入呢？当然不是，请看下面的代码：
<select id=“orderBlog“ resultType=“Blog“
parameterType=”map”>
select id,title,author,content
from blog order by $orderParam
</select>
仔细观察，内联参数的格式由“#xxx”变为了$xxx。如果我们给参数“orderParam”赋值为”id”,将sql打印出来，是这样的：
select id,title,author,content from
blog order by id
显然，这样是无法阻止sql注入的。在mybatis中，”$xxx”这样格式的参数会直接参与sql编译，从而不能避免注入攻击。但涉及到动态表名和列名时，只能使用“$xxx”这样的参数格式，所以，这样的参数需要我们在代码中手工进行处理来防止注入。
结论：在编写mybatis的映射语句时，尽量采用“#xxx”这样的格式。若不得不使用“$xxx”这样的参数，要手工地做好过滤工作，来防止sql注入攻击。

MyBatis如何防止SQL注入

SQL注入

什么是SQL注入呢？首先SQL注入是一种攻击手段，一种使用构造恶意的SQL语句，欺骗服务器执行SQL命令，让后台的数据库去解析，从而达到入侵目标网络，获取敏感信息的攻击手段。

MyBatis如何防止SQL注入

SQL中#和$区别

#	$
相当于对数据加上双引号	相当于直接显示数据
很大程度上防止SQL注入	无法防止SQL注入
#{xxx},使用的是PreparedStatement,会有类型转换，比较安全	${xxx}，使用字符串拼接，容易SQL注入

 简单的说就是#{}是经过预编译的，是安全的，${}是未经过预编译的，仅仅是取变量的值，是非安全的，存在SQL注入。

例子

 1 <select id="selectBackGoodsDetail" resultType="java.util.Map">
 2     SELECT sum(a.item_num) backGoodsNum,a.item_price backGoodsPrice,
 3     sum(a.item_num * a.item_price) backGoodsSumPrice,
 4     b.barcode,b.name itemName,b.weight,c.name itemCategoryName
 5     FROM back_goods_detail a
 6     LEFT JOIN item b ON a.item_id=b.id
 7     LEFT JOIN item_category c ON b.item_category_id =c.id
 8     <where>
 9         <if test="backGoodsId!=null">
10             a.back_goods_id = #{backGoodsId}
11         </if>
12         <if test="itemCategoryId!=null">
13             AND b.item_category_id = #{itemCategoryId}
14         </if>
15         <if test="searchKey!= null">
16             AND (b.sequence LIKE CONCAT(‘%‘, #{searchKey}, ‘%‘)
17             OR b.name LIKE CONCAT(‘%‘, #{searchKey}, ‘%‘)
18             OR b.barcode LIKE CONCAT(‘%‘,#{searchKey},‘%‘))
19         </if>
20     </where>
21     GROUP BY a.item_id
22     LIMIT #{pageStart},#{pageNum}
23 </select>