【转】mybatis如何防止sql注入

sql注入你们都不陌生，是一种常见的攻击方式，攻击者在界面的表单信息或url上输入一些奇怪的sql片断，例如“or ‘1’=’1’”这样的语句，有可能入侵参数校验不足的应用程序。因此在咱们的应用中须要作一些工做，来防备这样的攻击方式。在一些安全性很高的应用中，好比银行软件，常常使用将sql语句所有替换为存储过程这样的方式，来防止sql注入，这固然是一种很安全的方式，但咱们平时开发中，可能不须要这种死板的方式。

mybatis框架做为一款半自动化的持久层框架，其sql语句都要咱们本身来手动编写，这个时候固然须要防止sql注入。其实Mybatis的sql是一个具备“输入+输出”功能，相似于函数的结构，以下：

<select id=“getBlogById“ resultType=“Blog“ parameterType=”int”>

       select id,title,author,content from blog where id=#{id}

</select>

这里，parameterType标示了输入的参数类型，resultType标示了输出的参数类型。回应上文，若是咱们想防止sql注入，理所固然地要在输入参数上下功夫。上面代码中高亮部分即输入参数在sql中拼接的部分，传入参数后，打印出执行的sql语句，会看到sql是这样的：

select id,title,author,content from blog where id = ?

无论输入什么参数，打印出的sql都是这样的。这是由于mybatis启用了预编译功能，在sql执行前，会先将上面的sql发送给数据库进行编译，执行时，直接使用编译好的sql，替换占位符“？”就能够了。由于sql注入只能对编译过程起做用，因此这样的方式就很好地避免了sql注入的问题。

mybatis是如何作到sql预编译的呢？其实在框架底层，是jdbc中的PreparedStatement类在起做用，PreparedStatement是咱们很熟悉的Statement的子类，它的对象包含了编译好的sql语句。这种“准备好”的方式不只能提升安全性，并且在屡次执行一个sql时，可以提升效率，缘由是sql已编译好，再次执行时无需再编译。

话说回来，是否咱们使用mybatis就必定能够防止sql注入呢？固然不是，请看下面的代码： 

<select id=“orderBlog“ resultType=“Blog“ parameterType=”map”>

       select id,title,author,content from blog order by ${orderParam}

</select>

仔细观察，内联参数的格式由“#{xxx}”变为了${xxx}。若是咱们给参数“orderParam”赋值为”id”,将sql打印出来，是这样的：

select id,title,author,content from blog order by id

显然，这样是没法阻止sql注入的。在mybatis中，”${xxx}”这样格式的参数会直接参与sql编译，从而不能避免注入攻击。但涉及到动态表名和列名时，只能使用“${xxx}”这样的参数格式，因此，这样的参数须要咱们在代码中手工进行处理来防止注入。

结论：在编写mybatis的映射语句时，尽可能采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数，要手工地作好过滤工做，来防止sql注入攻击。