mybatis#号和$符的区别?
区别
1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id}
,当前端把id值1,传入到后台的时候,就相当于
select id,name,age from student where id ='1'.
使用#可以很大程度上防止sql注入。(语句的拼接) ,
为什么#可以防止sql注入:mybatis中#不会对传值做处理,$会对特殊字符过滤
2 & 是将传入的数据直接显示生成sql语句,, 当前端把id值1,传入到后台的时候,就相当于
eg: select id,name,age from student where id =${id}
select id,name,age from student where id = 1.
SQL注入
就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
预防
1.(简单又有效的方法)PreparedStatement
采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。
使用好处:
(1).代码的可读性和可维护性.
(2).PreparedStatement尽最大可能提高性能.
(3).最重要的一点是极大地提高了安全性.
原理:
sql注入只对sql语句的准备(编译)过程有破坏作用
而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,
而不再对sql语句进行解析,准备,因此也就避免了sql注入问题.
2.使用正则表达式过滤传入的参数
要引入的包:
import java.util.regex.*;
正则表达式:
private String CHECKSQL = “^(.+)\sand\s(.+)|(.+)\sor(.+)\s$”;
判断是否匹配:
Pattern.matches(CHECKSQL,targerStr);
下面是具体的正则表达式:
检测SQL meta-characters的正则表达式 :
/(%27)|(\’)|(--)|(%23)|(#)/ix
典型的SQL 注入攻击的正则表达式 :/\w*((%27)|(\’))((%6F)|o|(%4F))((%72)|r|(%52))/ix
检测SQL注入,UNION查询关键字的正则表达式 :/((%27)|(\’))union/ix(%27)|(\’)
检测MS SQL Server SQL注入攻击的正则表达式:
/exec(\s|+)+(s|x)p\w+/ix