mybatis中${}既然可能会出现sql注入的情况,为什么还要用呢?
首先我们看下Mybatis中#{}与${}的区别
1、 #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是user_id,那么解析成sql时的值为order by “user_id”,如果传入的值是id,则解析成的sql为order by “id”.
2、 $将传入的数据直接显示生成在sql中。如:order by $ user_id $,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sql为order by id.
3、 #方式能够很大程度防止sql注入。
4、$方式无法防止Sql注入。
接下来我们来看一下什么是sql注入
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句
mybatis中的${}是怎么引起SQL注入的呢
举个栗子:
比如验证用户登录需要 login_id 和 password,编写的 SQL 语句如下:
select * from login where login_id =${login_id } and pwd = ${password } ;
如果login_id 和 password 字段被恶意填入
login_id = “1’ OR ‘1’='1”,与password = “1’ OR ‘1’='1”
将导致原本的 SQL 字符串被填为:
select * from login where login_id = ‘1’ or ‘1’=‘1’ and password = ‘1’ or ‘1’=‘1’
实际上运行的 SQL 语句将变成:
select * from login
也就是不再需要 login_id 和 password 账密即达到登录的目的,结果不言而喻。
mybatis 怎解决解决 SQL 注入问题呢?
我们从上面的Mybatis中#{}与${}的区别中得知了它们的区别是什么
从区别中我们得知#{}方式能够很大程度防止sql注入,所以最直观的方式就是使用#{}方式来避免sql注入问题
既然${}可能会出现sql注入的情况,为什么还要用?
举个栗子
在项目实际开发中可能会有这么一个需求,开发者不知道实际要操作数据库中具体是哪一张表,可能会通过一系列的判断来动态的获取到要操作的表名此时如果要用#{}的方式来处理sql就回出现以下情况
select * from #{tableName} where…
这样sql处理完成后就会变成select * from “tableName” where…
很显然,这肯定是不行的
如果们使用${}呢
sql处理完成后select * from tableName where…
这样这段sql就能正常执行了
所以综合上述,这就是为什么${}可能会出现sql注入的情况,为什么还要用的原因
|