开发者

浅谈为什么#{}可以防止SQL注入

开发者 https://www.devze.com 2022-12-13 10:09 出处:网络 作者: 今天的阿洋依旧很菜
目录#{} 和 ${} 的区别#{} 底层是如何防止 SQL 注入的?为什么能防止SQL注入?#{} 和 ${} 编程客栈的区别
目录
  • #{} 和 ${} 的区别
    • #{} 底层是如何防止 SQL 注入的?
  • 为什么能防止SQL注入?

    #{} 和 ${} 编程客栈的区别

    #{} 匹配的是一个占位符,相当于 JDBC 中的一个?,会对一些敏感字符进行过滤,编译过后会对传递的值加上双引号,因此可以防止 SQL 注入问题。

    ${} 匹配的是真实传递的值,传递过后,会与 SQL 语句进行字符串拼接。${} 会与其他 SQL 进行字符串拼接,无法防止 SQL 注入问题。

    <mapper namespace="com.gitee.shiayanga.mybatis.wildcard.dao.UserDao">
        <select id="findByUsername" resultType="com.gitee.shiayanga.mybatis.wildcard.entity.User" parameterType="string">
            select * from user where username like #{userName}
        </select>
        <select id="findByUsername2" resultType="com.gitee.shiayanga.mybatis.wildcard.entity.User" parameterType="string">
            select * from user where username like '%${userName}%'
        </select>
    </mapper>
    ==>  Preparing: select * from user where username like ?
    ==> Parameters: '%小%' or 1=1 --(String)
    <==      Total: 0
    ==>  Preparing: select * from user where username like '%aaa' or 1=1 -- %'
    ==> Parameters: 
    <==      Total: 4

    #{} 底层是如何防止 SQL 注入的?

    • #{} 底层采用的是 PreparedStatement,因此不会产生 SQL 注入问题
    • #{} 不会产生字符串拼接,而 ${} 会产生字符串拼接

    为什么能防止SQL注入?

    以mysql为例,#{} 使用的是 com.mysql.cj.ClientPreparedQueryBindings#setString 方法,在这里会对一些特殊字符进行处理:

    public void setString(int parameterIndex, String x) {
            if (x == null) {
                setNull(parameterIndex);
            } else {
                int stringLength = x.length();
    
                if (this.session.getServerSession().isNoBackslashEscapesSet()) {
                    // Scan for any nasty chars
    
                    boolean needsHexEscape = isEscapeNeededForString(x, stringLength);
    
                    if (!needsHexEscape) {
                        StringBuilder quotedString = new StringBuilder(x.length() + 2);
                        quotedString.append('\'');
                        quotedString.append(x);
                        quotedString.append('\'');
    
                        byte[] parameterAsBytes = this.isLoadDataQuery ? StringUtils.getBytes(quotedString.toString())
                                : StringUtils.getBytes(quotedString.toString(), this.charEncoding);
                        setValue(parameterIndex, parameterAsBytes, MysqlType.VARCHAR);
    
                    } else {
                        byte[] parameterAsBytes = this.isLoadDataQuery ? StringUtils.getBytes(x) : StringUtils.getBytes(x, this.charEncoding);
                        setBytes(parameterIndex, parameterAsBytes);
                    }
    
                    return;
                }
    
                String parameterAsString = x;
                boolean needsQuoted = true;
    
                if (this.isLoadDataQuery || isEscapeNeededForString(x, stringLength)) {
                    needsQuoted = false; // saves an allocation later
    
                    StringBuilder buf = new StringBuilder((int) (x.length() * 1.1));
    
                    buf.append('\'');
    
                    //
                    // Note: buf.append(char) is _faster_ than appending in blocks, because the block append requires a System.arraycopy().... go figure...
                    //
    
                    for (int i = 0; i < stringLength; ++i) {
                        char c = x.charAt(i);
    
                        switch (c) {
                            case 0: /* Must be escaped for 'mysql' */
                                buf.append('\\');
                                buf.append('0');
                                break;
                            case '\n': /* Must be escaped for logs */
                                buf.append('\\');
                                buf.append('n');
                                break;
                            case '\r':
                                buf.append('\\');
                                buf.append('r');
                                break;
                            case '\\':
                                buf.append('\\');
                                buf.append('\\');
                                break;
                            case '\'':
                                buf.append('\'');
                                buf.append('\'');
                                break;
                            case '"': /* Better safe than sorry */
                                if (this.session.getServerSession().useAnsiQuotedIdentifiers()) {
                                    buf.append('\\');
                                }
                                buf.append('"');
                                break;
                            case '\032': /* This gives problems on Win32 */
                                buf.append('\\');
                                buf.append('Z');
                                break;
                            case '\u00a5':
                            case '\u20a9':
                                // escape characters interpreted as backslash by mysql
                                if (this.charsetEncoder != null) {
                                    CharBuffer cbuf = CharBuffer.allocate(1);
                                    ByteBuffer bbuf = ByteBuffer.allocate(1);
                                    cbuf.put(c);
                                    cbuf.position(0);
                                    this.charsetEncoder.encode(cbuf, bbuf, true);
                                    if (bbuf.get(0) == '\\') {
                                        buf.append('\\');
                                    }
                                }
                                buf.append(c);
                                break;
    
                            default:
                                buf.append(c);
                        }
                    }
    
                    buf.append('\'');
    
                    parameterAsString = buf.toString();
                }
    
                byte[] parameterAsBytes = this.isL开发者_数据库oadDataQuery ? StringUtils.getBytes(parameterAsString)
                        : (needsQuoted ? StringUtils.getBytesWrapped(编程客栈parameterAsString, '\'', '\'', this.charEncoding)
                                : StringUtils.getBytes(parameterAsString, this.charEncoding编程客栈));
    
                setValue(parameterIndex, parameterAsBytes, MysqlType.VARCHAR);
            }
        }

    所以 '%小%' or 1=1 --  经过处理之后就变成了 '''%小%'' or 1=1 --'

    而 ${} 只是简单的拼接字符串,不做其他处理。

    这样,它们就变成了:

    -- %aaa' or 1=1 --
    select * from user where username like '%aaa' or 1=1 -- %'
    
    -- '%小%' or 1=1 --
    select * from user where username like '''%小%'' or 1=1 --'

    所以就避免了 vvXbuLSQL 注入的风险。

    到此这篇关于浅谈为什么#{}可以防止SQL注入的文章就介绍到这了,更多相关#{}防止SQL注入内容请搜索我们以前的文章http://www.devze.com或继续浏览下面的相关文章希望大家以后多多支持我们!

    0

    精彩评论

    暂无评论...
    验证码 换一张
    取 消

    关注公众号