mybatis在传参时,为什么#能够有效的防止sql注入

 我来答
育知同创教育
2018-07-28 · 百度知道合伙人官方认证企业
育知同创教育
1【专注:Python+人工智能|Java大数据|HTML5培训】 2【免费提供名师直播课堂、公开课及视频教程】 3【地址:北京市昌平区三旗百汇物美大卖场2层,微信公众号:yuzhitc】
向TA提问
展开全部

因为在mybatis中,”${xxx}”这样格式的参数会直接参与sql编译,从而不能避免注入攻击。但涉及到动态表名和列名时,只能使用“${xxx}”这样的参数格式,所以,这样的参数需要程序开发者在代码中手工进行处理来防止注入。

#xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql语句是这样的 where xxx = 'xxx' ;

$xxx$ 则是把xxx作为字符串拼接到sql语句中, 比如 order by topicId , 语句这样写 ... order by #xxx# ibatis 就会翻译成order by 'topicId' (这样就会报错) 语句这样写 ... order by $xxx$ ibatis 就会翻译成 order by topicId

  1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".
      
    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sql为order by id

所以说#方式能够很大程度防止sql注入。

百度网友c2ff2b2
2018-04-20 · 超过45用户采纳过TA的回答
知道小有建树答主
回答量:96
采纳率:0%
帮助的人:59.1万
展开全部
#相当于对数据 加上 双引号,$相当于直接显示数据
1.假设我们现在要登陆,某个系统,但是你不知道别人的密码,那么登陆时候的sql
select * from user where userId=smith AND psw=?
2.对于$状况,我们输入密码: 123 or 1=1,那么sql就变成
select * from user where userId=smith AND psw= 123 or 1=1。
由于1=1是永远成立的,这个sql就通过,结果就是登陆成功。
3.换成#状况的话,由于加上双引号,那么
select * from user where userId=smith AND psw=“123 or 1=1”
会出现密码错误,登陆失败。
懂了否?
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
妥善且舒坦的布丁l
2016-01-15 · TA获得超过10.9万个赞
知道小有建树答主
回答量:527
采纳率:0%
帮助的人:197万
展开全部
1、可以是其他的实体对象 2、不是 3、这个就等同于你在不同类中有同名方法,这有什么影响呢?你就当每个xml就是一个实现类好了
本回答被提问者采纳
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
收起 2条折叠回答
推荐律师服务: 若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询

为你推荐:

下载百度知道APP,抢鲜体验
使用百度知道APP,立即抢鲜体验。你的手机镜头里或许有别人想知道的答案。
扫描二维码下载
×

类别

我们会通过消息、邮箱等方式尽快将举报结果通知您。

说明

0/200

提交
取消

辅 助

模 式