浅谈为什么#{}可以防止SQL注入

作者:今天的阿洋依旧很菜 时间:2024-01-27 07:19:08 

#{} 和 ${} 的区别

#{} 匹配的是一个占位符,相当于 JDBC 中的一个?,会对一些敏感字符进行过滤,编译过后会对传递的值加上双引号,因此可以防止 SQL 注入问题。

${} 匹配的是真实传递的值,传递过后,会与 SQL 语句进行字符串拼接。${} 会与其他 SQL 进行字符串拼接,无法防止 SQL 注入问题。

<mapper namespace="com.gitee.shiayanga.mybatis.wildcard.dao.UserDao">
   <select id="findByUsername" resultType="com.gitee.shiayanga.mybatis.wildcard.entity.User" parameterType="string">
       select * from user where username like #{userName}
   </select>
   <select id="findByUsername2" resultType="com.gitee.shiayanga.mybatis.wildcard.entity.User" parameterType="string">
       select * from user where username like '%${userName}%'
   </select>
</mapper>
==>  Preparing: select * from user where username like ?
==> Parameters: '%小%' or 1=1 --(String)
<==      Total: 0
==>  Preparing: select * from user where username like '%aaa' or 1=1 -- %'
==> Parameters:
<==      Total: 4

#{} 底层是如何防止 SQL 注入的?

  • #{} 底层采用的是 PreparedStatement,因此不会产生 SQL 注入问题

  • #{} 不会产生字符串拼接,而 ${} 会产生字符串拼接

为什么能防止SQL注入?

以MySQL为例,#{} 使用的是 com.mysql.cj.ClientPreparedQueryBindings#setString 方法,在这里会对一些特殊字符进行处理:

public void setString(int parameterIndex, String x) {
       if (x == null) {
           setNull(parameterIndex);
       } else {
           int stringLength = x.length();

if (this.session.getServerSession().isNoBackslashEscapesSet()) {
               // Scan for any nasty chars

boolean needsHexEscape = isEscapeNeededForString(x, stringLength);

if (!needsHexEscape) {
                   StringBuilder quotedString = new StringBuilder(x.length() + 2);
                   quotedString.append('\'');
                   quotedString.append(x);
                   quotedString.append('\'');

byte[] parameterAsBytes = this.isLoadDataQuery ? StringUtils.getBytes(quotedString.toString())
                           : StringUtils.getBytes(quotedString.toString(), this.charEncoding);
                   setValue(parameterIndex, parameterAsBytes, MysqlType.VARCHAR);

} else {
                   byte[] parameterAsBytes = this.isLoadDataQuery ? StringUtils.getBytes(x) : StringUtils.getBytes(x, this.charEncoding);
                   setBytes(parameterIndex, parameterAsBytes);
               }

return;
           }

String parameterAsString = x;
           boolean needsQuoted = true;

if (this.isLoadDataQuery || isEscapeNeededForString(x, stringLength)) {
               needsQuoted = false; // saves an allocation later

StringBuilder buf = new StringBuilder((int) (x.length() * 1.1));

buf.append('\'');

//
               // Note: buf.append(char) is _faster_ than appending in blocks, because the block append requires a System.arraycopy().... go figure...
               //

for (int i = 0; i < stringLength; ++i) {
                   char c = x.charAt(i);

switch (c) {
                       case 0: /* Must be escaped for 'mysql' */
                           buf.append('\\');
                           buf.append('0');
                           break;
                       case '\n': /* Must be escaped for logs */
                           buf.append('\\');
                           buf.append('n');
                           break;
                       case '\r':
                           buf.append('\\');
                           buf.append('r');
                           break;
                       case '\\':
                           buf.append('\\');
                           buf.append('\\');
                           break;
                       case '\'':
                           buf.append('\'');
                           buf.append('\'');
                           break;
                       case '"': /* Better safe than sorry */
                           if (this.session.getServerSession().useAnsiQuotedIdentifiers()) {
                               buf.append('\\');
                           }
                           buf.append('"');
                           break;
                       case '\032': /* This gives problems on Win32 */
                           buf.append('\\');
                           buf.append('Z');
                           break;
                       case '\u00a5':
                       case '\u20a9':
                           // escape characters interpreted as backslash by mysql
                           if (this.charsetEncoder != null) {
                               CharBuffer cbuf = CharBuffer.allocate(1);
                               ByteBuffer bbuf = ByteBuffer.allocate(1);
                               cbuf.put(c);
                               cbuf.position(0);
                               this.charsetEncoder.encode(cbuf, bbuf, true);
                               if (bbuf.get(0) == '\\') {
                                   buf.append('\\');
                               }
                           }
                           buf.append(c);
                           break;

default:
                           buf.append(c);
                   }
               }

buf.append('\'');

parameterAsString = buf.toString();
           }

byte[] parameterAsBytes = this.isLoadDataQuery ? StringUtils.getBytes(parameterAsString)
                   : (needsQuoted ? StringUtils.getBytesWrapped(parameterAsString, '\'', '\'', this.charEncoding)
                           : StringUtils.getBytes(parameterAsString, this.charEncoding));

setValue(parameterIndex, parameterAsBytes, MysqlType.VARCHAR);
       }
   }

所以 '%小%' or 1=1 --  经过处理之后就变成了 '''%小%'' or 1=1 --'

而 ${} 只是简单的拼接字符串,不做其他处理。

这样,它们就变成了:

-- %aaa' or 1=1 --
select * from user where username like '%aaa' or 1=1 -- %'

-- '%小%' or 1=1 --
select * from user where username like '''%小%'' or 1=1 --'

所以就避免了 SQL 注入的风险。

来源:https://juejin.cn/post/7095247748126998535

标签:#{},SQL,注入
0
投稿

猜你喜欢

  • Centos7下源码安装Python3 及shell 脚本自动安装Python3的教程

    2023-01-11 13:45:04
  • Python实现有趣的亲戚关系计算器

    2022-02-25 01:11:09
  • 安装ElasticSearch搜索工具并配置Python驱动的方法

    2021-03-12 12:07:52
  • Mootools常用方法扩展(一)

    2009-01-09 12:45:00
  • MySQL跨服务器数据映射的实现

    2024-01-23 15:08:19
  • Python3操作SQL Server数据库(实例讲解)

    2024-01-24 04:13:21
  • 可以让程序告诉我详细的页面错误和数据库连接错误吗?

    2009-11-01 18:01:00
  • 详解小程序循环require之坑

    2024-02-24 03:38:29
  • python中的lambda函数用法指南

    2021-04-15 02:58:15
  • 使用Python制作一盏 3D 花灯喜迎元宵佳节

    2021-08-15 06:35:43
  • 使用Keras加载含有自定义层或函数的模型操作

    2022-12-25 19:29:29
  • Windows 下python3.8环境安装教程图文详解

    2023-05-09 09:55:09
  • 基于TensorBoard中graph模块图结构分析

    2021-01-11 16:58:52
  • MYSQL教程:服务器优化和硬件优化

    2009-02-27 15:43:00
  • 浅谈用Python实现一个大数据搜索引擎

    2022-05-11 19:15:52
  • 如何解决从文本文件中调出记录出现丢失换行的问题?

    2009-12-03 20:25:00
  • laravel添加前台跳转成功页面示例

    2023-11-20 15:22:18
  • Python代码需要缩进吗

    2022-05-07 18:21:15
  • 基于Go Int转string几种方式性能测试

    2024-05-08 10:17:04
  • JavaScript模拟实现自由落体效果

    2024-05-02 16:19:47
  • asp之家 网络编程 m.aspxhome.com