mybatis能否预防SQL注入

太过爱你忘了你带给我的痛 2022-11-05 11:48 2阅读 0赞

### 1、概念：什么是sql注入 ###

**SQL注入**：是一种代码注入技术，用于攻击数据驱动的应用，恶意的SQL语句被插入到执行的实体字段中。

它一种常见的攻击方式。攻击者在界面的表单信息或者URL上输入一些特殊的SQL片段（比如“OR 1=1”），就有可能入侵参数检验不完善的应用程序。所以，应用开发中需做一些工作，来防备SQL注入。一些对安全性要求很高的应用中（如银行软件），通常使用将SQL语句全部替换为存储过程的方式，以防止SQL注入。是一种很安全的处理方式。

**答案：**mybatis是能够防止SQL注入的，请继续阅读。

### 2、实现方式：mybatis防止sql注入 ###

<select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap">
      select id, username, password, role
         from user
            where username = #{username,jdbcType=VARCHAR}
            and password = #{password,jdbcType=VARCHAR}
    </select>
    <select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap">
        select id, username, password, role
            from user
            where username = ${username,jdbcType=VARCHAR}
            and password = ${password,jdbcType=VARCHAR}
    </select>

mybatis中的**\#**和**$**的区别：

1、**\#**会将传入参数都当成一个字符串，会对其自动加一个双引号。

如：where username=\#\{username\}，如果传入的值是111,那么解析成sql时的值为where username="111", 如果传入的值是id，则解析成的sql为where username="id".

2、**$**将传入的数据直接显示生成在sql中。

如：where username=$\{username\}，如果传入的值是111,那么解析成sql时的值为where username=111；

如果传入的值是;drop table user;，则解析成的sql为：select id, username, password, role from user where username=;drop table user;

3、**\#**方式能够很大程度防止sql注入，**$**方式无法防止Sql注入。

4、**$**方式一般用于传入数据库对象，例如传入表名.

5、推荐使用**\#，**避免使用**$**，如果不得不使用“$\{xxx\}”这样的参数，需要开发人员做好过滤工作，防止sql注入攻击。

6、在MyBatis中，“$\{xxx\}”这样格式的参数会直接参与SQL编译，从而不能避免注入攻击。但涉及到动态表名和列名时，只能使用“$\{xxx\}”这样的参数格式。所以，这样的参数需要我们在代码中手工进行处理来防止注入。

【结论】在编写MyBatis的映射语句时，尽量采用“\#\{xxx\}”这样的格式。若不得不使用“$\{xxx\}”这样的参数，要手工地做好过滤工作，来防止SQL注入攻击。

### 3、原理分析：mybatis是如何做到防止sql注入的 ###

MyBatis框架是一款**半自动化的持久层框架**，SQL语句需要开发人员手动编写，此时，必需防止SQL注入。其实，MyBatis的SQL是一个具有“**输入+输出**”的功能，类似于函数的结构，参考上面的两个例子。其中，**parameterType**表示了输入的参数类型，**resultType**表示了输出的参数类型。回顾上文，如果想防止SQL注入，那就必须在入参上做文章。上面代码中使用**\#，**即输入参数在SQL中拼接的部分，传入参数后，打印出执行的SQL语句，如下：

> select id, username, password, role from user where username=? and password=?

即不论输入什么样的参数，打印出的SQL都是上面的样子。原因：**MyBatis启用了预编译功能，SQL执行前，会先将SQL发送给数据库进行编译；执行时，直接使用编译好的SQL，参数替换占位符“?”即可。因为SQL注入只能对编译过程起作用，所以此种方式就很好地避免了SQL注入攻击。**

【底层实现原理】MyBatis是如何做到SQL预编译的呢？其实在框架底层，是JDBC中的PreparedStatement类在起作用，PreparedStatement是我们很熟悉的Statement的子类，它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全性，而且在多次执行同一个SQL时，能够提高效率。原因是SQL已编译好，再次执行时无需再编译。

//安全的，预编译了的
    Connection conn = getConn();//获得连接
    String sql = "select id, username, password, role from user where id=?"; //执行sql前会预编译号该条语句
    PreparedStatement pstmt = conn.prepareStatement(sql); 
    pstmt.setString(1, id); 
    ResultSet rs=pstmt.executeUpdate(); 
    ......
    
    //不安全的，没进行预编译
    private String getNameByUserId(String userId) {
        Connection conn = getConn();//获得连接
        String sql = "select id,username,password,role from user where id=" + id;
        //当id参数为"3;drop table user;"时，执行的sql语句如下:
        //select id,username,password,role from user where id=3; drop table user;  
        PreparedStatement pstmt =  conn.prepareStatement(sql);
        ResultSet rs=pstmt.executeUpdate();
        ......
    }

### 结论： ###

\#\{\}：相当于JDBC中的PreparedStatement

$\{\}：是输出变量的值

简言之：\#\{\}需经过预编译，是安全的；$\{\}不经过预编译，仅是取变量值，是不安全的，存在SQL注入攻击风险。

如果order by语句后用了$\{\}，那么不做任何处理的时候是存在SQL注入危险的。需要开发这进行代码层面的参数校验，过滤入参，参数长度，是否在预期集合内，是否含特殊或数据库关键字等。

参考：

[https://www.cnblogs.com/200911/p/5869097.html][https_www.cnblogs.com_200911_p_5869097.html]

[https_www.cnblogs.com_200911_p_5869097.html]: https://www.cnblogs.com/200911/p/5869097.html