mybatis 中使用 sqlMap 进行 sql 查询时,经常需要动态传递参数,例如sql 如下:
select * from student where uid=#{uid} AND student_name='${studentName}'
在动态 SQL 解析阶段, #{ } 和 ${ } 会有不同的表现:
#{ } 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符占位符 ?。
上面的例子就被解析为
...... uid=?
${ } 仅仅为一个纯碎的 string 替换,在mybatis的动态 SQL 解析阶段将会进行变量替换。比如:传入的studentName参数是“张三”
...... student_name='张三'
最后解析完成的完整语句就是
select * from student where uid= ? AND student_name='张三'
然后把解析好的语句在通过JDBC执行。
所以因为在${ } 在预编译之前已经被变量替换了,这会存在 sql 注入问题。比如:传入的studentName参数是“1' OR '1'='1”
在mybatis中解析完成后变成了
select * from student where uid= ? AND student_name='1' OR '1'='1'
这样就查询出所有的数据了。
源码查看:
在执行mybtis的查询是,会执行到PreparedStatementHandler#query,查看生成的PreparedStatement
如果传入参数传入的studentName参数是“1' OR '1'='1”
所以就出现注入的情况了。
如果我们把${studentName}换成#{studentName},在传入“1' OR '1'='1”呢
在mybatis解析出的结果
在数据库的执行日志中查询执行的sql语句
发现我们传入的“'”被转义了,
所以通过预编译,用占位符的方式传值可以把一些特殊的字符进行转义,这样可以防止一些sql注入。
其原因就是:采用了JDBC的PreparedStatement,就会将sql语句:“select * from student where uid= ? AND student_name= ?” 预先编译好,也就是SQL引擎会预先进行语法分析,产生语法树,生成执行计划,也就是说,后面你输入的参数,无论你输入的是什么,都不会影响该SQL语句的语法结构了,因为语法分析已经完成了,而语法分析主要是分析sql命令,比如select,from,where,and,or,order by等等。所以即使你后面输入了这些sql命令,也不会被当成sql命令来执行了,因为这些SQL命令的执行,必须先得通过语法分析,生成执行计划,既然语法分析已经完成,已经预编译过了,那么后面输入的参数,是绝对不可能作为SQL命令来执行的,只会被当做字符串字面值参数。所以的sql语句预编译可以防御SQL注入。而且在多次执行同一个SQL时,能够提高效率。原因是SQL已编译好,再次执行时无需再编译。
默认使用PreparedStatement是不能执行预编译的,这需要在url中给出useServerPrepStmts=true参数(MySQL Server 4.1之前的版本是不支持预编译的,而Connector/J在5.0.5以后的版本,默认是没有开启预编译功能的)。
例如:jdbc:mysql://localhost:3306/test?useServerPrepStmts=true
这样才能保证mysql驱动会先把SQL语句发送给服务器进行预编译,然后在执行executeQuery()时只是把参数发送给服务器。
