数据库 SQL Server

SQL Server #{}可以防止SQL注入

Posted in SQL Server onMay 11, 2022

#{} 和 ${} 的区别

#{} 匹配的是一个占位符，相当于 JDBC 中的一个?，会对一些敏感字符进行过滤，编译过后会对传递的值加上双引号，因此可以防止 SQL 注入问题。

${} 匹配的是真实传递的值，传递过后，会与 SQL 语句进行字符串拼接。${} 会与其他 SQL 进行字符串拼接，无法防止 SQL 注入问题。

<mapper namespace="com.gitee.shiayanga.mybatis.wildcard.dao.UserDao">
    <select id="findByUsername" resultType="com.gitee.shiayanga.mybatis.wildcard.entity.User" parameterType="string">
        select * from user where username like #{userName}
    </select>
    <select id="findByUsername2" resultType="com.gitee.shiayanga.mybatis.wildcard.entity.User" parameterType="string">
        select * from user where username like '%${userName}%'
    </select>
</mapper>

==>  Preparing: select * from user where username like ?
==> Parameters: '%小%' or 1=1 --(String)
<==      Total: 0
==>  Preparing: select * from user where username like '%aaa' or 1=1 -- %'
==> Parameters: 
<==      Total: 4

#{} 底层是如何防止 SQL 注入的？

#{} 底层采用的是 PreparedStatement，因此不会产生 SQL 注入问题
#{} 不会产生字符串拼接，而 ${} 会产生字符串拼接

为什么能防止SQL注入？

以MySQL为例，#{} 使用的是 com.mysql.cj.ClientPreparedQueryBindings#setString 方法，在这里会对一些特殊字符进行处理：

public void setString(int parameterIndex, String x) {
        if (x == null) {
            setNull(parameterIndex);
        } else {
            int stringLength = x.length();

            if (this.session.getServerSession().isNoBackslashEscapesSet()) {
                // Scan for any nasty chars

                boolean needsHexEscape = isEscapeNeededForString(x, stringLength);

                if (!needsHexEscape) {
                    StringBuilder quotedString = new StringBuilder(x.length() + 2);
                    quotedString.append('\'');
                    quotedString.append(x);
                    quotedString.append('\'');

                    byte[] parameterAsBytes = this.isLoadDataQuery ? StringUtils.getBytes(quotedString.toString())
                            : StringUtils.getBytes(quotedString.toString(), this.charEncoding);
                    setValue(parameterIndex, parameterAsBytes, MysqlType.VARCHAR);

                } else {
                    byte[] parameterAsBytes = this.isLoadDataQuery ? StringUtils.getBytes(x) : StringUtils.getBytes(x, this.charEncoding);
                    setBytes(parameterIndex, parameterAsBytes);
                }

                return;
            }

            String parameterAsString = x;
            boolean needsQuoted = true;

            if (this.isLoadDataQuery || isEscapeNeededForString(x, stringLength)) {
                needsQuoted = false; // saves an allocation later

                StringBuilder buf = new StringBuilder((int) (x.length() * 1.1));

                buf.append('\'');

                //
                // Note: buf.append(char) is _faster_ than appending in blocks, because the block append requires a System.arraycopy().... go figure...
                //

                for (int i = 0; i < stringLength; ++i) {
                    char c = x.charAt(i);

                    switch (c) {
                        case 0: /* Must be escaped for 'mysql' */
                            buf.append('\\');
                            buf.append('0');
                            break;
                        case '\n': /* Must be escaped for logs */
                            buf.append('\\');
                            buf.append('n');
                            break;
                        case '\r':
                            buf.append('\\');
                            buf.append('r');
                            break;
                        case '\\':
                            buf.append('\\');
                            buf.append('\\');
                            break;
                        case '\'':
                            buf.append('\'');
                            buf.append('\'');
                            break;
                        case '"': /* Better safe than sorry */
                            if (this.session.getServerSession().useAnsiQuotedIdentifiers()) {
                                buf.append('\\');
                            }
                            buf.append('"');
                            break;
                        case '\032': /* This gives problems on Win32 */
                            buf.append('\\');
                            buf.append('Z');
                            break;
                        case '\u00a5':
                        case '\u20a9':
                            // escape characters interpreted as backslash by mysql
                            if (this.charsetEncoder != null) {
                                CharBuffer cbuf = CharBuffer.allocate(1);
                                ByteBuffer bbuf = ByteBuffer.allocate(1);
                                cbuf.put(c);
                                cbuf.position(0);
                                this.charsetEncoder.encode(cbuf, bbuf, true);
                                if (bbuf.get(0) == '\\') {
                                    buf.append('\\');
                                }
                            }
                            buf.append(c);
                            break;

                        default:
                            buf.append(c);
                    }
                }

                buf.append('\'');

                parameterAsString = buf.toString();
            }

            byte[] parameterAsBytes = this.isLoadDataQuery ? StringUtils.getBytes(parameterAsString)
                    : (needsQuoted ? StringUtils.getBytesWrapped(parameterAsString, '\'', '\'', this.charEncoding)
                            : StringUtils.getBytes(parameterAsString, this.charEncoding));

            setValue(parameterIndex, parameterAsBytes, MysqlType.VARCHAR);
        }
    }

所以 '%小%' or 1=1 -- 经过处理之后就变成了 '''%小%'' or 1=1 --'

而 ${} 只是简单的拼接字符串，不做其他处理。

这样，它们就变成了：

-- %aaa' or 1=1 --
select * from user where username like '%aaa' or 1=1 -- %'

-- '%小%' or 1=1 --
select * from user where username like '''%小%'' or 1=1 --'

所以就避免了 SQL 注入的风险。

到此这篇关于浅谈为什么#{}可以防止SQL注入的文章就介绍到这了！

SQL Server #{}可以防止SQL注入

- Author -

今天的阿洋依旧很菜

- Original Sources -

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

Tags in this post...

#{}(1) SQL注入(2)

SQL Server 相关文章推荐

SqlServer: 如何更改表的文件组？(进而改变存储位置)

Apr 05 SQL Server

SQLServer2019 数据库的基本使用之图形化界面操作的实现

Apr 08 SQL Server

SqlServer 垂直分表(减少程序改动)

Apr 16 SQL Server

SQL写法--行行比较

Aug 23 SQL Server

sql server 累计求和实现代码

Feb 28 SQL Server

通过T-SQL语句创建游标与实现数据库加解密功能

Mar 16 SQL Server

SQL Server Agent 服务无法启动

Apr 20 SQL Server

使用MybatisPlus打印sql语句

Apr 22 SQL Server

SQL Server中锁的用法

May 20 SQL Server

SQL Server一个字符串拆分多行显示或者多行数据合并成一个字符串

May 25 SQL Server

SQL Server删除表中的重复数据

May 25 SQL Server

SQL中的连接查询详解

Jun 21 SQL Server

SQL Server 忘记密码以及重新添加新账号

使用 MybatisPlus 连接 SqlServer 数据库解决 OFFSET 分页问题

Apr 22 #SQL Server

使用MybatisPlus打印sql语句

Apr 22 #SQL Server

Sql Server 行数据的某列值想作为字段列显示的方法

SQL Server Agent 服务无法启动

Apr 20 #SQL Server

SQLServer权限之只开启创建表权限

如何使用SQL Server语句创建表

Apr 12 #SQL Server

iPhone(1) 数据(1) iOS15(1) iOS16(1) 嘧啶碱基(2) 大脑(1) DNA(2) 富碳陨石(1) RNA(2) 陨石(1)

You might like

有关 PHP 和 MySQL 时区的一点总结

2008/03/26 PHP

需要注意的几个PHP漏洞小结

2012/02/05 PHP

php使用base64加密解密图片示例分享

2014/01/20 PHP

php使用cookie保存用户登录的用户名实例

2015/01/26 PHP

PHP使用pear自带的mail类库发邮件的方法

2015/07/08 PHP

PHP getDocNamespaces()函数讲解

2019/02/03 PHP

Thinkphp框架使用list_to_tree 实现无限级分类列出所有节点示例

2020/04/04 PHP

js里怎么取select标签里的值并修改

2012/12/10 Javascript

利用js(jquery)操作Cookie的方法说明

2013/12/19 Javascript

node.js中的console.info方法使用说明

2014/12/09 Javascript

js运动动画的八个知识点

2015/03/12 Javascript

纯JS代码实现一键分享功能

2016/04/20 Javascript

AngularJS基于factory创建自定义服务的方法详解

2017/05/25 Javascript

详解Vue组件之间通信的七种方式

2019/04/14 Javascript

使用vue中的混入mixin优化表单验证插件问题

2019/07/02 Javascript

React中使用UMEditor的方法示例

2019/12/27 Javascript

[00:12]DAC2018 Miracle-站上中单舞台，他能否再写奇迹？

2018/04/06 DOTA

[34:47]完美世界DOTA2联赛PWL S2 Magma vs LBZS 第一场 11.18

2020/11/18 DOTA

深入探究Python中变量的拷贝和作用域问题

2015/05/05 Python

Python实现登录接口的示例代码

2017/07/21 Python

selenium3+python3环境搭建教程图解

2018/12/07 Python

在python 不同时区之间的差值与转换方法

2019/01/14 Python

基于python实现百度翻译功能

2019/05/09 Python

Python绘制堆叠柱状图的实例

2019/07/09 Python

如何通过50行Python代码获取公众号全部文章

2019/07/12 Python

Python 处理日期时间的Arrow库使用

2020/08/18 Python

html5 offlline 缓存使用示例

2013/06/24 HTML / CSS

html5.2 dialog简介详解

2018/02/27 HTML / CSS

俄罗斯极限运动网上商店：Board Shop №1

2020/12/18 全球购物

学生会离职感言

2014/02/11 职场文书

消防安全标语

2014/06/07 职场文书

农村老人去世追悼词

2015/06/23 职场文书

投诉信格式范文

2015/07/02 职场文书

MySQL中出现乱码问题的终极解决宝典

2021/05/26 MySQL

react 项目中引入图片的几种方式

2021/06/02 Javascript

Python 如何利用ffmpeg 处理视频素材

2021/11/27 Python

SQL Server #{}可以防止SQL注入

目录

#{} 和 ${} 的区别

#{} 底层是如何防止 SQL 注入的？

为什么能防止SQL注入？