数据库 SQL Server

SQL Server #{}可以防止SQL注入

Posted in SQL Server onMay 11, 2022

#{} 和 ${} 的区别

#{} 匹配的是一个占位符，相当于 JDBC 中的一个?，会对一些敏感字符进行过滤，编译过后会对传递的值加上双引号，因此可以防止 SQL 注入问题。

${} 匹配的是真实传递的值，传递过后，会与 SQL 语句进行字符串拼接。${} 会与其他 SQL 进行字符串拼接，无法防止 SQL 注入问题。

<mapper namespace="com.gitee.shiayanga.mybatis.wildcard.dao.UserDao">
    <select id="findByUsername" resultType="com.gitee.shiayanga.mybatis.wildcard.entity.User" parameterType="string">
        select * from user where username like #{userName}
    </select>
    <select id="findByUsername2" resultType="com.gitee.shiayanga.mybatis.wildcard.entity.User" parameterType="string">
        select * from user where username like '%${userName}%'
    </select>
</mapper>

==>  Preparing: select * from user where username like ?
==> Parameters: '%小%' or 1=1 --(String)
<==      Total: 0
==>  Preparing: select * from user where username like '%aaa' or 1=1 -- %'
==> Parameters: 
<==      Total: 4

#{} 底层是如何防止 SQL 注入的？

#{} 底层采用的是 PreparedStatement，因此不会产生 SQL 注入问题
#{} 不会产生字符串拼接，而 ${} 会产生字符串拼接

为什么能防止SQL注入？

以MySQL为例，#{} 使用的是 com.mysql.cj.ClientPreparedQueryBindings#setString 方法，在这里会对一些特殊字符进行处理：

public void setString(int parameterIndex, String x) {
        if (x == null) {
            setNull(parameterIndex);
        } else {
            int stringLength = x.length();

            if (this.session.getServerSession().isNoBackslashEscapesSet()) {
                // Scan for any nasty chars

                boolean needsHexEscape = isEscapeNeededForString(x, stringLength);

                if (!needsHexEscape) {
                    StringBuilder quotedString = new StringBuilder(x.length() + 2);
                    quotedString.append('\'');
                    quotedString.append(x);
                    quotedString.append('\'');

                    byte[] parameterAsBytes = this.isLoadDataQuery ? StringUtils.getBytes(quotedString.toString())
                            : StringUtils.getBytes(quotedString.toString(), this.charEncoding);
                    setValue(parameterIndex, parameterAsBytes, MysqlType.VARCHAR);

                } else {
                    byte[] parameterAsBytes = this.isLoadDataQuery ? StringUtils.getBytes(x) : StringUtils.getBytes(x, this.charEncoding);
                    setBytes(parameterIndex, parameterAsBytes);
                }

                return;
            }

            String parameterAsString = x;
            boolean needsQuoted = true;

            if (this.isLoadDataQuery || isEscapeNeededForString(x, stringLength)) {
                needsQuoted = false; // saves an allocation later

                StringBuilder buf = new StringBuilder((int) (x.length() * 1.1));

                buf.append('\'');

                //
                // Note: buf.append(char) is _faster_ than appending in blocks, because the block append requires a System.arraycopy().... go figure...
                //

                for (int i = 0; i < stringLength; ++i) {
                    char c = x.charAt(i);

                    switch (c) {
                        case 0: /* Must be escaped for 'mysql' */
                            buf.append('\\');
                            buf.append('0');
                            break;
                        case '\n': /* Must be escaped for logs */
                            buf.append('\\');
                            buf.append('n');
                            break;
                        case '\r':
                            buf.append('\\');
                            buf.append('r');
                            break;
                        case '\\':
                            buf.append('\\');
                            buf.append('\\');
                            break;
                        case '\'':
                            buf.append('\'');
                            buf.append('\'');
                            break;
                        case '"': /* Better safe than sorry */
                            if (this.session.getServerSession().useAnsiQuotedIdentifiers()) {
                                buf.append('\\');
                            }
                            buf.append('"');
                            break;
                        case '\032': /* This gives problems on Win32 */
                            buf.append('\\');
                            buf.append('Z');
                            break;
                        case '\u00a5':
                        case '\u20a9':
                            // escape characters interpreted as backslash by mysql
                            if (this.charsetEncoder != null) {
                                CharBuffer cbuf = CharBuffer.allocate(1);
                                ByteBuffer bbuf = ByteBuffer.allocate(1);
                                cbuf.put(c);
                                cbuf.position(0);
                                this.charsetEncoder.encode(cbuf, bbuf, true);
                                if (bbuf.get(0) == '\\') {
                                    buf.append('\\');
                                }
                            }
                            buf.append(c);
                            break;

                        default:
                            buf.append(c);
                    }
                }

                buf.append('\'');

                parameterAsString = buf.toString();
            }

            byte[] parameterAsBytes = this.isLoadDataQuery ? StringUtils.getBytes(parameterAsString)
                    : (needsQuoted ? StringUtils.getBytesWrapped(parameterAsString, '\'', '\'', this.charEncoding)
                            : StringUtils.getBytes(parameterAsString, this.charEncoding));

            setValue(parameterIndex, parameterAsBytes, MysqlType.VARCHAR);
        }
    }

所以 '%小%' or 1=1 -- 经过处理之后就变成了 '''%小%'' or 1=1 --'

而 ${} 只是简单的拼接字符串，不做其他处理。

这样，它们就变成了：

-- %aaa' or 1=1 --
select * from user where username like '%aaa' or 1=1 -- %'

-- '%小%' or 1=1 --
select * from user where username like '''%小%'' or 1=1 --'

所以就避免了 SQL 注入的风险。

到此这篇关于浅谈为什么#{}可以防止SQL注入的文章就介绍到这了！

SQL Server #{}可以防止SQL注入

- Author -

今天的阿洋依旧很菜

- Original Sources -

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

Tags in this post...

#{}(1) SQL注入(2)

SQL Server 相关文章推荐

SQL Server中交叉联接的用法详解

Apr 22 SQL Server

在 SQL 语句中处理 NULL 值的方法

Jun 07 SQL Server

SQLServer中JSON文档型数据的查询问题解决

Jun 27 SQL Server

SQL Server中使用判断语句（IF ELSE/CASE WHEN ）案例

Jul 07 SQL Server

sql server 累计求和实现代码

Feb 28 SQL Server

Sql Server之数据类型详解

Feb 28 SQL Server

SQLServer权限之只开启创建表权限

Apr 12 SQL Server

使用MybatisPlus打印sql语句

Apr 22 SQL Server

SQL Server使用T-SQL语句批处理

May 20 SQL Server

SQL Server删除表中的重复数据

May 25 SQL Server

SQL使用复合索引实现数据库查询的优化

May 25 SQL Server

SQL Server携程核心系统无感迁移到MySQL实战

Jun 01 SQL Server

SQL Server 忘记密码以及重新添加新账号

使用 MybatisPlus 连接 SqlServer 数据库解决 OFFSET 分页问题

Apr 22 #SQL Server

使用MybatisPlus打印sql语句

Apr 22 #SQL Server

Sql Server 行数据的某列值想作为字段列显示的方法

SQL Server Agent 服务无法启动

Apr 20 #SQL Server

SQLServer权限之只开启创建表权限

如何使用SQL Server语句创建表

Apr 12 #SQL Server

EJB面试题(46) MySQL面试题(19) Oracle面试题(81) 软件工程师面试题(40) C#面试题(90) LINUX面试题(83) 软件测试工程师面试题(53) PYTHON面试题(27) 网络工程师面试题(96) Javascript面试题(44)

You might like

PHP 图像尺寸调整代码

2010/05/26 PHP

解析strtr函数的效率问题

2013/06/26 PHP

FireFox浏览器使用Javascript上传大文件

2013/10/30 PHP

Yii框架实现图片上传的方法详解

2017/05/20 PHP

jQuery 常见开发使用技巧总结

2009/12/26 Javascript

jquery实现的带缩略图的焦点图片切换(自动播放/响应鼠标动作)

2013/01/23 Javascript

用box固定长宽实现图片自动轮播js代码

2014/06/09 Javascript

纯JavaScript代码实现移动设备绘图解锁

2015/10/16 Javascript

Vue.js每天必学之过滤器与自定义过滤器

2016/09/07 Javascript

JS实现的驼峰式和连字符式转换功能分析

2016/12/21 Javascript

js实现数组去重方法及效率?Ρ? target=

2017/02/14 Javascript

vue实现登录后页面跳转到之前页面

2018/01/07 Javascript

微信小程序switch组件使用详解

2018/01/31 Javascript

vue中实现移动端的scroll滚动方法

2018/03/03 Javascript

Angular网络请求的封装方法

2018/05/22 Javascript

layui 设置table 行的高度方法

2018/08/17 Javascript

vue实现微信分享链接添加动态参数的方法

2019/04/29 Javascript

小程序Request的另类用法详解

2019/08/09 Javascript

vue实现淘宝购物车功能

2020/04/20 Javascript

vue-cli+webpack项目打包到服务器后,ttf字体找不到的解决操作

2020/08/28 Javascript

python调用短信猫控件实现发短信功能实例

2014/07/04 Python

使用PDB模式调试Python程序介绍

2015/04/05 Python

编写Python的web框架中的Model的教程

2015/04/29 Python

python实现C4.5决策树算法

2018/08/29 Python

Python 3.x基于Xml数据的Http请求方法

2018/12/28 Python

从列表或字典创建Pandas的DataFrame对象的方法

2019/07/06 Python

在python中实现同行输入/接收多个数据的示例

2019/07/20 Python

python入门之基础语法学习笔记

2020/02/08 Python

css3遮罩层镂空效果的多种实现方法

2020/05/11 HTML / CSS

html5各种页面切换效果和模态对话框用法总结

2014/12/15 HTML / CSS

Pottery Barn阿联酋：购买家具、家居装饰及更多

2019/12/08 全球购物

银行柜员应聘推荐信范文

2013/11/24 职场文书

团队精神演讲稿

2013/12/31 职场文书

员工安全生产责任书

2014/07/22 职场文书

2015年学生会干事工作总结

2015/04/09 职场文书

python常见的占位符总结及用法

2021/07/02 Python

SQL Server #{}可以防止SQL注入

目录

#{} 和 ${} 的区别

#{} 底层是如何防止 SQL 注入的？

为什么能防止SQL注入？