mysql 模糊查询 与 sql注入

一、根据姓名模糊查询员工信息

方式一

select

id, emp_name as empName,

sex,email,birthday,address

from

t_employee

where

emp_name like #{empName}

以上方式需要在传值时加上%% 即 %张三% 手动添加通配符

方式二

select

id, emp_name as empName,

sex,email,birthday,address

from

t_employee

where

emp_name like '%${empName}%'

通过$方式拼接的sql语句，不再是以占位符的形式生成sql，而是以拼接字符串的方式生成sql，这样做带来的问题：会引发sql注入的问题

方式三

既能解决sql注入又能够在位置文件中写%，可以使用mysql的函数 concat

select

id, emp_name as empName,

sex,email,birthday,address

from

t_employee

where

emp_name like concat('%',#{empName},'%')

补充

对于方式三也可使用 $ 即

emp_name like concat('%','${empName}','%')

总结

{}是预编译处理，mybatis在处理#{}时，它会将sql中的#{}替换为？，然后调用PreparedStatement的set方法来赋值

传入字符串后，会在值的两边加上单引号，使用占位符的方式提高效率，防止sql注入

${}:表示拼接sql串，将接收到的参数的内容不加修饰拼接在sql中，可能引发sql注入

二、sql注入

1、什么是sql注入

通过输入的内容，改变原程序中的sql语句的结构，从而实现无账号登录、甚至篡改数据库

2、sql注入攻击实例

String sql = "select * from user_table where username = '"+username+"' and passwrod ='"+password+"';

当上述sql 中参数输入 ‘or 1=1 -- and password ='’ 无论输入的账号密码是什么一定会成功

3、sql注入的原理

注入原因：sql语句接收来自客户端用户输入的变量或URL传递的参数，并且这个变量或参数是组成SQL语句的一部分，从而改变了sql语句本身，造成sql注入。

4、防范方法

检查变量数据的类型和格式

过滤特殊字符

绑定变量，使用预编译语句 最佳方式： 即在sql语句中，变量用问号？表示

5、什么是sql预编译

预编译语句是什么

通常我们的一条sql在db接收到最终执行结果返回分为三个过程

词法和语义解析

优化sql语句，制定执行计划

执行并返回结果

所谓预编译语句就是将这类语句中的值用占位符替代，可以视为将sql语句模板化或者参数化，一般称这类语句叫做Prepared Statements

预编译语句的优势在于：依次编译，多次运行，省去课解析优化过程，还能防止sql注入

6、mybatis 如何防止sql注入

1、以下sql的区别

select id, username, password, role

from user

where username = #{username,jdbcType=VARCHAR}

and password = #{password,jdbcType=VARCHAR}

select id, username, password, role

from user

where username = ${username,jdbcType=VARCHAR}

and password = ${password,jdbcType=VARCHAR}

将传入的数据都当成一个字符串，会自动对传入的数据加一个双引号。

如： where username =#{username}， 如果传入的值是111，那么解析成sql的值为 where username =“111”

$将传入的数据直接显示生成在sql 中

如 where username =${username} 如果传入的值为111，那么解析成sql时的值为where username =111；

如果传入的值为 ；drop table user 则会有删表现象

因此 ：#方式能够很大程度上防止sql注入，$方式无法防止sql注入

$方式一般用于传入数据库对象， 例如传入表名

【结论】在编写MyBatis的映射语句时，尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数，要手工地做好过滤工作，来防止SQL注入攻击。

2、mybatis 如何防止sql注入

MyBatis框架作为一款半自动化的持久层框架，其SQL语句都要我们自己手动编写，这个时候当然需要防止SQL注入。其实，MyBatis的SQL是一个具有“输入+输出”的功能，类似于函数的结构，参考上面的两个例子。其中，parameterType表示了输入的参数类型，resultType表示了输出的参数类型。回应上文，如果我们想防止SQL注入，理所当然地要在输入参数上下功夫。上面代码中使用#的即输入参数在SQL中拼接的部分，传入参数后，打印出执行的SQL语句，会看到SQL是这样的：

select id, username, password, role from user where username=? and password=?

3、mybatis 底层实现防止sql注入的原理：

【底层实现原理】MyBatis是如何做到SQL预编译的呢？其实在框架底层，是JDBC中的PreparedStatement类在起作用，PreparedStatement是我们很熟悉的Statement的子类，它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全性，而且在多次执行同一个SQL时，能够提高效率。原因是SQL已编译好，再次执行时无需再编译