SQL注入与预编译SQL

1、SQL注入

SQL注入:是通过操作输入的数据来修改事先定义好的SQL语句,以达到执行代码对服务器进行攻击的方法。

由于没有对用户输入进行充分检查,而SQL又是拼接而成,在用户输入参数时,在参数中添加一些SQL关键字,达到改变SQL运行结果的目的,也可以完成恶意攻击。

实行SQL注入:

用户在页面提交数据的时候人为的添加一些特殊字符,使得sql语句的结构发生了变化,最终可以在没有用户名或者密码的情况下进行登录。

2、预编译SQL

预编译SQL有两个优势:

  • 性能更高:预编译SQL,编译一次之后会将编译后的SQL语句缓存起来,后面再次执行这条语句时,不会再次编译。(只是输入的参数不同)。
  • 更安全(防止SQL注入):将敏感字进行转义,保障SQL的安全性。

3、参数占位符

在Mybatis中提供的参数占位符有两种:${...} 、#{...}

  • #{...}
    • 执行SQL时,会将#{...}替换为?,生成预编译SQL,会自动设置参数值
    • 使用时机:参数传递,都使用#{...}
  • ${...}
    • 拼接SQL。直接将参数拼接在SQL语句中,存在SQL注入问题
    • 使用时机:如果对表名、列表进行动态设置时使用

注意事项:在项目开发中,建议使用#{...},生成预编译SQL,防止SQL注入安全。

4、使用预编译SQL(参数占位符)预防SQL注入

使用预编译SQL(参数占位符)预防SQL注入:

把整个' or '1'='1作为一个完整的参数,赋值给第2个问号(' or '1'='1进行了转义,只当做字符串使用)

相关推荐
无限的鲜花8 小时前
反射(原创推荐)
java·开发语言
运维行者_8 小时前
企业无线网络监控的挑战与智能化演进趋势
大数据·运维·服务器·网络·数据库
IT二叔8 小时前
Java项目部署-03-teamcity-cicd-docker镜像流水线方式部署
java·ci/cd·持续部署
一路向北he9 小时前
字节钢铁军团--“提供情境,而非控制”
java·开发语言·前端
码事漫谈9 小时前
别写Prompt了,现在流行给AI“写循环”
后端
国强_dev9 小时前
技术探讨:使用 stunnel 加密转发数据库连接时,如何获取客户端真实 IP?
数据库·网络协议·tcp/ip
@insist1239 小时前
系统规划与管理师-信息系统规划核心工作要点解析
数据库·软考·系统规划与管理师·软件水平考试·系统规划与管理工程师
超级数据查看器9 小时前
超级数据查看器 v10.0 发布
java·大数据·数据库·sqlite·安卓
数安3000天10 小时前
增量数据如何自动分类分级,避免目录“过期“?
大数据·数据库
Kyrie_Li10 小时前
Spring Boot Kafka 生产级配置全解析:从入门到精通
spring boot·后端·kafka