很多年没考虑 sql 注入了,毕业以后 使用mybatis #{ 参数的 语法 },这个 语法已经 做了防止 sql 注入的处理 。 看到同事写的 ${ 参数 },突然 想到这个问题 。
下面聊聊 sql注入。
总结
${ 参数 } 里面带有的 任何参数 都会被直接拼接到sql 里面 。
#{ 参数 } 是 做了预编译。 后面 只能传参数。
注入的3 种方式:
原始 sql : select * from id = '${ id }'
1 or 方式 select * from id = ' 1 or 1=1 ' ,这样可以查询出所有 (红色 为注入部分)
后果:可以查询到所有数据
如果 原始 sql :select * from id = '${ id }' and name =1
2 -- 注释方式:select * from id = ' 1 or 1=1 -- ' and name =1 (红色 为注入部分)
后果:后面 的 name =1 的 条件被注释掉了
3 ; 分割 sql select * from id = ' 1 ; update order set amount = 0.01 where id =1 ' (红色 为注入部分)
后果:啥都没查询到,但是 我吧订单金额 了
所以 使用 mybatis 尽量不要使用 ${ 参数 } 语法,不用 mybatis 应该尽量 使用 预编译的sql 。