mysql 模糊查询 与 sql注入

一、根据姓名模糊查询员工信息

方式一

<select id = "selectByName"  resultType= "cn.test.domain.Employee">
    select 
       id, emp_name as empName,
		sex,email,birthday,address
       from
            t_employee
       where
            emp_name like #{empName}
</select>
    

以上方式需要在传值时加上%% 即 %张三% 手动添加通配符

方式二

<select id = "selectByName"  resultType= "cn.test.domain.Employee">
    select 
       id, emp_name as empName,
		sex,email,birthday,address
       from
            t_employee
       where
            emp_name like ‘%${empName}%‘
</select>

通过$方式拼接的sql语句，不再是以占位符的形式生成sql，而是以拼接字符串的方式生成sql，这样做带来的问题：会引发sql注入的问题

方式三

既能解决sql注入又能够在位置文件中写%，可以使用mysql的函数 concat

<select id = "selectByName"  resultType= "cn.test.domain.Employee">
    select 
       id, emp_name as empName,
		sex,email,birthday,address
       from
            t_employee
       where
            emp_name like concat(‘%‘,#{empName},‘%‘)
</select>

补充

对于方式三也可使用 $ 即

  emp_name like concat(‘%‘,‘${empName}‘,‘%‘)

总结

• {}是预编译处理，mybatis在处理#{}时，它会将sql中的#{}替换为？，然后调用PreparedStatement的set方法来赋值

• 传入字符串后，会在值的两边加上单引号，使用占位符的方式提高效率，防止sql注入
• ${}:表示拼接sql串，将接收到的参数的内容不加修饰拼接在sql中，可能引发sql注入

二、sql注入

1、什么是sql注入

通过输入的内容，改变原程序中的sql语句的结构，从而实现无账号登录、甚至篡改数据库

2、sql注入攻击实例

String sql = "select * from user_table where username = ‘"+username+"‘  and passwrod =‘"+password+"‘;
    
    当上述sql 中参数输入   ‘or 1=1 -- and password =‘’  无论输入的账号密码是什么一定会成功

3、sql注入的原理

• 注入原因：sql语句接收来自客户端用户输入的变量或URL传递的参数，并且这个变量或参数是组成SQL语句的一部分，从而改变了sql语句本身，造成sql注入。

4、防范方法

1. 检查变量数据的类型和格式
2. 过滤特殊字符
3. 绑定变量，使用预编译语句 最佳方式： 即在sql语句中，变量用问号？表示

5、什么是sql预编译

• 预编译语句是什么
• 通常我们的一条sql在db接收到最终执行结果返回分为三个过程
  1. 词法和语义解析
  2. 优化sql语句，制定执行计划
  3. 执行并返回结果
• 所谓预编译语句就是将这类语句中的值用占位符替代，可以视为将sql语句模板化或者参数化，一般称这类语句叫做Prepared Statements
• 预编译语句的优势在于：依次编译，多次运行，省去课解析优化过程，还能防止sql注入

6、mybatis 如何防止sql注入

1、以下sql的区别

<select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap">
select id, username, password, role
from user
where username = #{username,jdbcType=VARCHAR}
and password = #{password,jdbcType=VARCHAR}
</select>

<select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap">
select id, username, password, role
from user
where username = ${username,jdbcType=VARCHAR}
and password = ${password,jdbcType=VARCHAR}

</select>

1. 将传入的数据都当成一个字符串，会自动对传入的数据加一个双引号。

• 如： where username =#{username}， 如果传入的值是111，那么解析成sql的值为 where username =“111”

  2. $将传入的数据直接显示生成在sql 中

  3. 如 where username =${username} 如果传入的值为111，那么解析成sql时的值为where username =111；

     如果传入的值为 ；drop table user 则会有删表现象

  因此 ：#方式能够很大程度上防止sql注入，$方式无法防止sql注入

  $方式一般用于传入数据库对象， 例如传入表名

  【结论】在编写MyBatis的映射语句时，尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数，要手工地做好过滤工作，来防止SQL注入攻击。

  2、mybatis 如何防止sql注入

  MyBatis框架作为一款半自动化的持久层框架，其SQL语句都要我们自己手动编写，这个时候当然需要防止SQL注入。其实，MyBatis的SQL是一个具有“输入+输出”的功能，类似于函数的结构，参考上面的两个例子。其中，parameterType表示了输入的参数类型，resultType表示了输出的参数类型。回应上文，如果我们想防止SQL注入，理所当然地要在输入参数上下功夫。上面代码中使用#的即输入参数在SQL中拼接的部分，传入参数后，打印出执行的SQL语句，会看到SQL是这样的：

  select id, username, password, role from user where username=? and password=?
  

  3、mybatis 底层实现防止sql注入的原理：

  【底层实现原理】MyBatis是如何做到SQL预编译的呢？其实在框架底层，是JDBC中的PreparedStatement类在起作用，PreparedStatement是我们很熟悉的Statement的子类，它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全性，而且在多次执行同一个SQL时，能够提高效率。原因是SQL已编译好，再次执行时无需再编译

sql模糊查询，以及sql注入问题

原文：https://www.cnblogs.com/FuYublogs/p/14045539.html