Mybatis-底层是如何解决sql注入&增删改查操作--删除操作

目录

什么是sql注入?

SQL注入如何解决?

[如何在Mybatis 中实现删除操作?](#如何在Mybatis 中实现删除操作?)

方式一:

方式二:

编写单元测试方法进行测试:

小结:


什么是sql注入?

  • SQL注入:通过控制输入来修改事先定义好的SQL语句,以达到执行代码对服务器进行攻击的方法。

SQL注入最典型的场景,就是用户登录功能

登录操作的原理:

在进行登录操作时,怎么样才算登录成功呢? 如果我们查询到了数据,就说明用户名密码是对的。 如果没有查询到数据,就说明用户名或密码错误。

select **count(*)**from emp where username ='' and password=''

如果返回大于0,说明登录成功

如果返回小于0,说明登录失败

我们编写的SQL语句是基于字符串直接进行拼接的(问题所在) 。 我们输入的用户名无所谓,比如:shfhsjfhja ,而密码呢,就是我们精心设计的,如:' or '1' = '1

那最终拼接的SQL语句,如下所示:

我们知道,or 连接的条件,是或的关系,两者满足其一就可以。 所以,虽然用户名密码输入错误,也是可以查询返回结果的,而只要查询到了数据,就说明用户名和密码是正确的。--这就出现了sql注入的问题。


SQL注入如何解决?

而通过预编译SQL(select * from user where username = ? and password = ?),就可以直接解决上述SQL注入的问题。

在预编译SQL语句中,当我们执行的时候,会把整个' or '1'='1作为一个****完整的参数赋值给第2个问号(等价于对' or '1'='1进行了转义(关键之处),只当做字符串使用)

那么此时再查询时,就查询不到对应的数据了,登录失败。

注意:在以后的项目开发中,我们使用的基本全部都是预编译SQL语句。

并且使用预编译的sql性能会更高。


如何在Mybatis 中实现删除操作?

  • 需求:根据ID删除用户信息

  • SQL:delete from user where id = 5;

  • Mapper接口方法:

    方式一:

java 复制代码
/**
 * 根据id删除
 */
@Delete("delete from user where id = 5")
public void deleteById();

**这种方式执行删除操作,调用deleteById方法只能删除id为5的用户信息,因为将id直接写死在代码中了,**不可取。

方式二:

java 复制代码
/**
 * 根据id删除
 */
@Delete("delete from user where id = #{id}")
public void deleteById(Integer id);

在Mybatis中,我们可以通过参数占位符号 #{...} 来占位,在调用deleteById方法时,传递的参数值,最终会替换占位符。

编写单元测试方法进行测试:

在单元测试类中,增加如下测试方法.

java 复制代码
@Test
public void testDeleteById(){
    userMapper.deleteById(36);
}

运行单元测试,结果如下:

运行之后,我们发现,#{...} 占位符,其实最终被替换成了 ?占位符,生成的是预编译的SQL语句。【推荐】

  • DML语句执行完毕,是有返回值的,我们可以为Mapper接口方法定义返回值来接收,如下:
java 复制代码
/**
 * 根据id删除
 */
@Delete("delete from user where id = #{id}")
public Integer deleteById(Integer id);

Integer类型的返回值,表示DML语句执行完毕影响的记录数。(小细节)

  • Mybatis的提供的符号,有两个,一个是 #{...},另一个是 ${...},区别如下:

|--------|-------------------------------------------|---------------|-----------------|
| 符号 | 说明 | 场景 | 优缺点 |
| #{...} | 占位符。执行时,会将#{...}替换为?,生成预编译SQL | 参数值传递 | 安全、性能高 (推荐) |
| ${...} | 拼接符。直接将参数拼接
SQL
语句中,存在SQL注入问题 | 表名、字段名动态设置时使用 | 不安全、性能低 |

在企业项目开发中,强烈建议使用 #{...} 。


小结:

  1. Mybatis 中执行 DML 语句时,有没有返回值?
    • 有, int类型 ,表示 DML 语句执行影响的记录数
  2. Mybatis 中 # 与 的区别是什么 ? (面试题) • # 是 **占位符** ,会替换为?生成预编译 SQL (推荐) • 字符串拼接符号 , 将参数值直接拼接在 SQL 中
相关推荐
白仑色2 小时前
Spring Cloud Gateway 实战指南
spring boot·微服务·路由转发·限流熔断
Sylvia-girl3 小时前
Java——抽象类
java·开发语言
Touper.6 小时前
Redis 基础详细介绍(Redis简单介绍,命令行客户端,Redis 命令,Java客户端)
java·数据库·redis
m0_535064607 小时前
C++模版编程:类模版与继承
java·jvm·c++
虾条_花吹雪7 小时前
Using Spring for Apache Pulsar:Message Production
java·ai·中间件
tomorrow.hello7 小时前
Java并发测试工具
java·开发语言·测试工具
Moso_Rx7 小时前
javaEE——synchronized关键字
java·java-ee
张小洛8 小时前
Spring AOP 是如何生效的(入口源码级解析)?
java·后端·spring
DKPT8 小时前
Java设计模式之行为型模式(观察者模式)介绍与说明
java·笔记·学习·观察者模式·设计模式
追风少年浪子彦9 小时前
mapstruct与lombok冲突原因及解决方案
java·spring boot·spring·spring cloud