必收藏面试题:什么是SQL注入?以及Mybatis中#号和$号之间的区别?

爱读源码的大都督2024-02-03 10:54

本文大纲:

  1. 先分析什么是SQL注入漏洞?
  2. 再分析#{}和${}之间的区别
  3. 再基于MybatisPlus做验证
  4. 再介绍#{}和${}的使用场景

什么是SQL注入?

先看两段代码,假如id的值为字符串"100",大家可以顺便想想每段代码最后拼接出来的SQL长什么样。

字符串直接拼接参数

java 复制代码 
public static ResultSet executeInject(Connection connection, String id) {
    String sql = "select * from order_info where id = " + id;
    PreparedStatement stmt = connection.prepareStatement(sql);
    return stmt.executeQuery();
}

通过占位符?和setString()方法拼接参数

java 复制代码 
public static ResultSet executeNormal(Connection connection, String id) {
    String sql = "select * from order_info where id = ?";
    PreparedStatement stmt = connection.prepareStatement(sql);
    stmt.setString(1, id);
    return stmt.executeQuery();
}

这两种方式有什么不同吗?

假如id的值是字符串"100",那么以上两段代码最终拼出来的SQL为:

字符串直接拼接参数的结果:

java 复制代码 
"select * from order_info where id = 100"

通过占位符?和setString()方法拼接参数的结果:

java 复制代码 
"select * from order_info where id = '100'"

看上去区别不大,但是对于id=100来说,id是varchar,100是int,对于mysql来说是要做类型转换的,这个过程其实是会导致问题的,下篇文章再来分析,关注我的公众号:IT周瑜

那如果现在小勇乱写,他给id传的值为"100 or 1=1",那么拼出来的SQL为:

字符串直接拼接参数的结果:

java 复制代码 
"select * from order_info where id = 100 or 1=1"

通过占位符?和setString()方法拼接参数的结果:

java 复制代码 
"select * from order_info where id = '100 or 1=1'"

仔细看看,看出区别没,直接拼接参数的将能查出全部数据,因为or 1=1生效了,而通过?和setString拼接的则不会出现问题,因为它被包裹在''里了,而这就是SQL注入漏洞

${}和#{}的区别

那以上两种情况和${}和#{}是什么关系呢?是一对一的关系。

${}对应的就是字符串直接拼接参数,从而会有SQL注入的风险。 #{}对应的就是占位符?和setString()拼接参数,不会有SQL注入的风险。

怎么验证呢?回头系统给大家分析下源码,今天先通过Demo来验证。

开启MybatisPlus的日志打印,先测试${}符号:

java 复制代码 
select * from order_info where id = ${id}

id为"10",结果为(正常查出一条):

id为"10 or 1=1",结果为(查出了全部数据,or 1=1生效了,发生了SQL注入):

再来测试#{}符号:

java 复制代码 
select * from order_info where id = #{id}

id为"10",结果为(正常查出一条):

id为"10 or 1=1",结果为(没有查出全部数据):

不过为啥最后这种情况,**正常应该是查不出来数据的,为啥还查出了一条数据呢?**我先提示一下,跟我的数据库id字段类型有关,id是int类型,你知道原因吗?答案跟本文没有太大关系,所以我会再下篇文章来分析这个问题,想要不错过我的文章,关注我的公众号:IT周瑜

使用场景总结

那#{}和${}实际工作中到底该如何使用呢?

建议在where条件后尽量使用#{},用来防止SQL注入。

<math xmlns="http://www.w3.org/1998/Math/MathML"> 可以用在 s e l e c t 之后,用来动态传入待查询字段,比如 ' s e l e c t {}可以用在select之后,用来动态传入待查询字段,比如`select </math>可以用在select之后,用来动态传入待查询字段,比如'select{col} where...,如果col的值为"name",那么拼出来的sql为select name where...,这是正常的,而如果用#{}拼出来的就是select 'name' where...`,变成了固定返回"name"这个字符串了,反倒是有问题的。

一个炫酷的360度ending pose~

我是IT周瑜,我们下次见。

最近有点忙,转正答辩、公司内部培训、调研RPA、流量回放、时序数据库等等,文章更新频率低了,后面应该会好点了,持续学习,持续分享。

相关推荐
_何同学20 分钟前
Ollama 安装 DeepSeek 与 Spring Boot 集成指南
java·spring boot·后端·ai
Code季风2 小时前
跨语言RPC:使用Java客户端调用Go服务端的HTTP-RPC服务
java·网络协议·http·rpc·golang
盖世英雄酱581362 小时前
时间设置的是23点59分59秒,数据库却存的是第二天00:00:00
java·数据库·后端
爷_3 小时前
Nest.js 最佳实践:异步上下文(Context)实现自动填充
前端·javascript·后端
clmm1233 小时前
Java动态生成Nginx服务配置
java·开发语言·nginx
东方芷兰3 小时前
Leetcode 刷题记录 17 —— 堆
java·c++·b树·算法·leetcode·职场和发展
追逐时光者3 小时前
提高 .NET 编程效率的 Visual Studio 使用技巧和建议!
后端·.net·visual studio
草履虫建模3 小时前
Web开发全栈流程 - Spring boot +Vue 前后端分离
java·前端·vue.js·spring boot·阿里云·elementui·mybatis
code bean3 小时前
【C#】 C#中 nameof 和 ToString () 的用法与区别详解
android·java·c#
夕颜1113 小时前
Cursor ssh 登录失败解决记录
后端
热门推荐
01扣子(coze)实战|我用扣子搭建了一个自动分析小红薯笔记内容的AI应用|详细步骤拆解02Coze扣子平台完整体验和实践(附国内和国际版对比)03KGG转MP3工具|非KGM文件|解密音频04AI Agent | Coze 插件使用指南:从功能解析到实操步骤05DeepSeek各版本说明与优缺点分析06从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑07字节跳动“扣子空间”AI智能体全解析08零代码入门 | Coze——让大模型接入自己的数据库09YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】10💁‍♀️Coze官方插件不够用?手把手教你自己造(白嫖)