|
7 z& W7 h1 W# j 1、sql 注入是什么sql 注入就是用户通过输入的参数,拼接到原先的 sql 中,成为 sql 的一部分,从而影响 sql 的功能和执行结果2、sql 注入破坏力-小兵破坏力比如原先 sql 如下select
{1 j# v) j2 v * fromuserwherename=用户名andpassword=密码;4 N" w& w' T$ ]& }) ~6 Y @
用户输入name:臻大虾-- 注释 S1 Y5 [. d2 r4 d, F: U
password:密码
9 E( r/ e f: @8 B! l1 F 那最终的结果猜猜是什么?select * fromuserwhere * r6 ^0 S$ b/ E+ m+ ^' w- \
name=臻大虾-- 注释 and password=密码;两个-- 代表注释,所以这条 sql 只需要输入用户名,就可以获取用户信息,跳过了密码的校验-boss 破坏力来个厉害的,比如用户输入以下参数
+ G j; J. ]; R" c$ l3 Q1 h1 @8 ^ name:臻大虾
# C9 R- ^9 @. D" o5 G9 q password:; droptableuser;-- 注释最终的 sql:select * fromuserwherename=臻大虾andpassword=; droptableuser
[# z2 R" f- f/ n+ ?( k( m: B @4 _ ;-- 注释;user 表居然被删除了,看到这,此时的你可能想原地爆炸3、对策3.1、PreparedStatement 预编译使用预编译,这样传入的参数,会被当作字符串,也就是被引号包起来拿刚才的例子,用户输入。
3 A/ F4 w, f+ t: \( l" Y8 Q name:臻大虾-- 注释
6 S9 q) R" M( {3 [1 [) t password:密码) Q- M l3 N, {: c' |
如果使用了预编译,那最终的 sqlselect * fromuserwherename=臻大虾\-- \注释 and password=密码;参数中的引号被转义,从而避免成为 sql 的一部分。
3 E5 j- G% Z8 V8 y 3.2、有些语句不能预编译预编译获取参数是根据#,而$ 是拼接的意思#{}:解析为预编译语句的一个参数占位符${}:仅仅作为一个字符串,在动态 sql 中直接替换变量,传入什么值,就是什么值比如传入:臻大虾 or 1=1
3 K l5 e$ S% x- K7 t& o r- V/ Y 1、SELECT * FROMuserWHEREname=#{name} //SELECT * FROM user WHERE name=\臻大虾\ or 1=12、SELECT * FROMuserWHERE 1 o! M0 V: h0 `5 X1 O
name=${name} //SELECT * FROMuserWHEREname=臻大虾or1=1但是有些情况使用#会报错,比如 like、in 如果使用#会报错,而使用则不会,所以有些人就直接使用还有 order by,根据传入的参数排序,这些情况就会有 sql 注入的危险,那怎么办呢?
, Y, O. y4 `0 z1 p! H* H! L likeselect * fromuserwherenamelike%#{name}% //会报错
7 i' V0 ~, @+ ? select * fromuserwherenamelike%${name}% //正常
; m' ?9 v+ h( l* P" {8 N9 m 正确写法使用 mysql 的字符串拼接函数 concat
# g) I# ~( }6 k$ k select * fromuserwherenamelikeconcat(%,#{name},%)in正确写法,使用 foreach@Select("" +0 h1 x9 m6 \: L: I, q4 p% e
"select * from user where id in "
% ^2 d0 T1 l! q' [) b. G* i3 O +
3 {+ A* X# B) L3 y# L " " +, b7 E9 v6 h. h. w- D( @6 Z
% l% `- V1 F" E# ] "#{item}" +
/ ^) [) E1 Y+ l- D ""+: V) p8 T$ T/ a3 Q
""): B' A! D ]8 \4 s7 V# N
List getByIds(@Param("userIds") List userIds);0 ^0 v2 Z9 a( p' k
0 ~1 A$ S2 B6 a( |5 {
order by有时需要根据前端传入的参数来排序,此时就会有 sql 注入的危险,此时可以使用白名单比如List allowSortColumnList= Lists.newArrayList(
% b Y7 |- ]2 T3 }6 }0 f& c "age","score");
5 R+ T; S0 F$ u, d6 q% a5 I if(!allowSortColumnList.contains(sortParam)){
8 Q E0 T% U0 g9 I; _ thrownew RuntimeException("can not sort by " - D* l3 R5 j2 N6 }
+sortParam);
. p" S# L9 G J; U: Z }
% t/ p) W' Q3 I$ w$ Q% _ 总结了很多有关于java面试的资料,希望能够帮助正在学习java的小伙伴由于资料过多不便发表文章,创作不易,望小伙伴们能够给我一些动力继续创建更好的java类学习资料文章,。
6 X! o5 a3 C( f! g! c4 |+ W 请多多支持和关注小作,别忘了点赞+评论+转发。右上角私信我回复【03】即可领取免费学习资料谢谢啦! 
! c4 h m" l+ }! S! \9 `9 a7 W 原文出处:https://mp.weixin.qq.com/s/qW_sOabkx5kK4obuJXSAUw 7 v& A" O0 T9 m- k
9 L' ]0 ?7 g6 s0 U8 N4 F$ g* e
* s' V& V$ N2 E5 ?- p5 p! E6 _
8 A ^! A, b- m9 H
, o2 a* p! L( r( S; g3 a6 m | 
