必收藏面试题:什么是SQL注入?以及Mybatis中#号和$号之间的区别?

news2024/12/22 10:43:31

本文大纲:

  1. 先分析什么是SQL注入漏洞?
  2. 再分析#{}和${}之间的区别
  3. 再基于MybatisPlus做验证
  4. 再介绍#{}和${}的使用场景

什么是SQL注入?

先看两段代码,假如id的值为字符串"100",大家可以顺便想想每段代码最后拼接出来的SQL长什么样。

字符串直接拼接参数

public static ResultSet executeInject(Connection connection, String id) {
    String sql = "select * from order_info where id = " + id;
    PreparedStatement stmt = connection.prepareStatement(sql);
    return stmt.executeQuery();
}

通过占位符?和setString()方法拼接参数

public static ResultSet executeNormal(Connection connection, String id) {
    String sql = "select * from order_info where id = ?";
    PreparedStatement stmt = connection.prepareStatement(sql);
    stmt.setString(1, id);
    return stmt.executeQuery();
}

这两种方式有什么不同吗?

假如id的值是字符串"100",那么以上两段代码最终拼出来的SQL为:

字符串直接拼接参数的结果:

"select * from order_info where id = 100"

通过占位符?和setString()方法拼接参数的结果:

"select * from order_info where id = '100'"

看上去区别不大,但是对于id=100来说,id是varchar,100是int,对于mysql来说是要做类型转换的,这个过程其实是会导致问题的,下篇文章再来分析,关注我的公众号:IT周瑜

那如果现在小勇乱写,他给id传的值为"100 or 1=1",那么拼出来的SQL为:

字符串直接拼接参数的结果:

"select * from order_info where id = 100 or 1=1"

通过占位符?和setString()方法拼接参数的结果:

"select * from order_info where id = '100 or 1=1'"

仔细看看,看出区别没,直接拼接参数的将能查出全部数据,因为or 1=1生效了,而通过?和setString拼接的则不会出现问题,因为它被包裹在’'里了,而这就是SQL注入漏洞

${}和#{}的区别

那以上两种情况和${}和#{}是什么关系呢?是一对一的关系。

${}对应的就是字符串直接拼接参数,从而会有SQL注入的风险。
#{}对应的就是占位符?和setString()拼接参数,不会有SQL注入的风险。

怎么验证呢?回头系统给大家分析下源码,今天先通过Demo来验证。

开启MybatisPlus的日志打印,先测试${}符号:

select * from order_info where id = ${id}

id为"10",结果为(正常查出一条):

id为"10 or 1=1",结果为(查出了全部数据,or 1=1生效了,发生了SQL注入):

再来测试#{}符号:

select * from order_info where id = #{id}

id为"10",结果为(正常查出一条):

id为"10 or 1=1",结果为(没有查出全部数据):

不过为啥最后这种情况,**正常应该是查不出来数据的,为啥还查出了一条数据呢?**我先提示一下,跟我的数据库id字段类型有关,id是int类型,你知道原因吗?答案跟本文没有太大关系,所以我会再下篇文章来分析这个问题,想要不错过我的文章,关注我的公众号:IT周瑜

使用场景总结

那#{}和${}实际工作中到底该如何使用呢?

建议在where条件后尽量使用#{},用来防止SQL注入。

${}可以用在select之后,用来动态传入待查询字段,比如select ${col} where...,如果col的值为"name",那么拼出来的sql为select name where...,这是正常的,而如果用#{}拼出来的就是select 'name' where...\,变成了固定返回"name"这个字符串了,反倒是有问题的。

一个炫酷的360度ending pose~

我是IT周瑜,我们下次见。

最近有点忙,转正答辩、公司内部培训、调研RPA、流量回放、时序数据库等等,文章更新频率低了,后面应该会好点了,持续学习,持续分享。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1429178.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

玩美移动为花西子海外官网打造AR虚拟试妆决方案

全球领先的增强现实(AR)及人工智能(AI)美妆科技领导者及玩美系列APP开发商——玩美移动(纽交所代码:PERF)于近日宣布携手知名美妆品牌花西子,在其线海外官方网页提供多项彩妆虚拟试妆…

链表——C语言——day17

链表 链表是一种常见的重要的数据结构。它是动态地进行存储分配的一种结构。在用数组存放数据时,必须事先定义固定的长度(即元素个数)。链表则没有这种缺点,它根据需要开辟内存单元。 链表有一个“头指针“变量,图中…

电脑怎么录屏?打造专业级视频内容!

随着科技的进步,电脑已经深入到我们的日常生活和工作中。而在这个数字时代,录制屏幕内容变得日益重要。无论是制作教程、分享游戏技巧,还是记录重要的演示,录屏都是一个不可或缺的功能。可是电脑怎么录屏呢?本文将深入…

ESU毅速丨3D打印随形水路在模具制造中应用越来越多

在模具制造领域,冷却水路的设计和制造至关重要,它直接影响到产品的质量和生产效率。3D打印随形水路在设计和制造上相比传统模具水路有哪些优势,为什么越来越受到企业追捧? 传统模具水路通常是直线或规则形状的通道,设计…

高宇辰:打造“π”型人才 | 提升之路系列(七)

导读 为了发挥清华大学多学科优势,搭建跨学科交叉融合平台,创新跨学科交叉培养模式,培养具有大数据思维和应用创新的“π”型人才,由清华大学研究生院、清华大学大数据研究中心及相关院系共同设计组织的“清华大学大数据能力提升项…

ADAS感知摄像头的分辨率与帧率选择分析

说明:可以作为对智能驾驶爱好者对摄像头参数理解或者从业工程人员对设计硬件选型参考 前言 在当前智能驾驶中,基于摄像头的 ADAS 因其应用、更高的可靠性和对新要求的适应性而被广泛采用。 ADAS 摄像头通常部署在汽车的前部、侧面和后部,提…

计算视图里的projection和aggregation节点区别

Projection 和 Aggregation到底有什么区别? 看名字就能看出来的。 那么在什么场景下用呢? 1. Projection就是投影,也就是说你本来的源里有什么,就直接给你拿出来。 除了这个,它使用的场景就是: 只映射需…

基于JAVA+SpringBoot+Vue的前后端分离的仓库管理系统(进销存)系统

✌全网粉丝20W,csdn特邀作者、博客专家、CSDN新星计划导师、java领域优质创作者,博客之星、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和毕业项目实战✌ 🍅文末获取项目下载方式🍅 一、项目背景介绍: 随着全球经济的不断发…

linux 下mongodb7版本怎么连?

概述:linux下的mongodb7版本默认是没有安装客户端的,需要下载shell客户端才能连,下载之后解压,不需要编译,进入bin目录就能自己运行,。 安装: linux 下mongodb7版本没有安装客户端需要当地下载…

vscode实时预览markdown效果

安装插件 Markdown Preview Enhanced 上面是搜索框 启动预览 右键->Open Preview On the Side 效果如下: 目录功能 目录功能还是使用gitee吧 push后使用gitee,gitee上markdown支持侧边生成目录

数据结构篇-05:哈希表解决字母异位词分组

本文对应力扣高频100 ——49、字母异位词分组 哈希表最大的特点就是它可以把搜索元素的时间复杂度降到O(1)。这一题就是要我们找到 “字母异位词” 并把它们放在一起。 “字母异位词”就是同一个单词中字母的不同组合形式。判断“字母异位词”有两个视角:1、所含字…

UE4 C++ 静态加载类和资源

静态加载类和资源:指在编译时加载,并且只能在构造函数中编写代码 .h //增加所需组件的头文件 #include "Components/SceneComponent.h" //场景组件 #include "Components/StaticMeshComponent.h" //静态网格体组件 #include &qu…

XXE基础知识整理(附加xml基础整理)

全称:XML External Entity 外部实体注入攻击 原理 利用xml进行读取数据时过滤不严导致嵌入了恶意的xml代码;和xss一样 危害 外界攻击者可读取商户服务器上的任意文件; 执行系统命令; 探测内网端口; 攻击内网网站。 商…

arcgis javascript api4.x加载非公开或者私有的arcgis地图服务

需求: 加载arcgis没有公开或者私有的地图服务,同时还想实现加载时不弹出登录窗口 提示:​ 下述是针对独立的arcgis server,没有portal的应用场景; 如果有portal可以参考链接:https://mp.weixin.qq.com/s/W…

麒麟系统—— openKylin 安装 Maven

麒麟系统—— openKylin 安装 Maven 一、准备工作1. 确保麒麟系统 openKylin 已经安装完毕。2. 确保 java 已经安装完毕 二、下载Maven三、解压 Maven 与环境配置解压配置环境变量验证 最终:介绍配置的其他参数使用 本文将分享如何在麒麟操作系统 openKylin 上安装…

【持续更新】2024牛客寒假算法基础集训营1题解 | JorbanS

文章目录 [A - DFS搜索](https://ac.nowcoder.com/acm/contest/67741/A)[B - 关鸡](https://ac.nowcoder.com/acm/contest/67741/B)[C - 按闹分配](https://ac.nowcoder.com/acm/contest/67741/C)[D - 数组成鸡](https://ac.nowcoder.com/acm/contest/67741/D)[E - 本题又主要考…

go_view同后端集成时的注意事项

goview是一个不错的可视化大屏配置工具;提供了丰富的功能可供调用。 官方地址和文档: https://gitee.com/dromara/go-view https://www.mtruning.club/guide/start/ 同nodejs集成可参考;https://gitee.com/qwdingyu/led (建议–后端集成有api功能,可直接配置sql)同dotne…

1 初识JVM

JVM(Java Virtual Machine),也就是 “Java虚拟机”。 对于第三点功能:即时编译 常见的JVM 默认安装在JDK中的虚拟机为HotSpot:可以用“java -version”进行查看

【tensorflow 版本 keras版本】

#. 安装tensorflow and keras, 总是遇到版本无法匹配的问题。 安装之前先查表 https://master--floydhub-docs.netlify.app/guides/environments/ 1.先确定你的python version 2.再根据下面表,确定安装的tesorflow, keras

Unity通过物理带动实现传输带运输物品

前言:遇到个听起来挺简单的需求,就是实现一个传输带,传输物品。但细想发现如果是直接设置物品的速度,或者通过设置父物体的方式带动物品,都挺不好,关联性太强。最后选择用到一个很实用的API, Rigidbody.M…