什么是SQL注入?会带来哪些威胁?我们该如何解决呢?

目录

1.参数占位符#{}和${}的关系

2.sql注入产生的原因及威胁

3.sql注入演示

4.${}的优点

1.排序查询

2.使用like关键字

5.总结


1.参数占位符#{}和${}的关系

  • #{}:预编译处理
  • ${}:字符直接替换

什么是预编译处理呢?

预编译处理就是MyBatis在处理#{}时,会将SQL中的#{}替换为?号,使用PreparedStstement的set方法来进行赋值

直接替换就是直接把¥{}替换成变量的值

那么这两个有什么区别呢?这里我们要知道一个概念SQL注入问题

2.sql注入产生的原因及威胁

当我们访问动态网页时,Web服务器会向数据访问层发起sql查询请求,如果权限通过就会执行sql语句,这种网站内部直接发送Sql请求一般没什么问题,但是很多时候我们是要根据用户的输入来动态的构造sql语句,如果用户恶意输入数据,但Web应用又未对动态构造的sql语句进行审查,那么就会带来意想不到的危险

sql注入带来的威胁一般有以下几个方面

  • 猜测后台数据库,这是利用最多的方式,盗取网络的敏感信息
  • 绕过登陆验证,直接登陆网站后台
  • 注入可以借助数据库的存储过程提权等操作

3.sql注入演示

使用我们上篇博客的数据表来演示一下登录的sql注入操作

先来测试#{}编译预处理的情况 (密码错误)

什么是SQL注入?会带来哪些威胁?我们该如何解决呢?_第1张图片

我们在yml中配置一下,使控制台打印SQL日志

什么是SQL注入?会带来哪些威胁?我们该如何解决呢?_第2张图片

什么是SQL注入?会带来哪些威胁?我们该如何解决呢?_第3张图片

 可以看到没有查找到结果 ,并没有成功登录

我们继续测试${}直接替换的效果

 可以看到查询出结果并且成功登陆了

这就非常可怕了,使用一个错误的密码能登陆上所有的账号信息,那么互联网就没有隐私可言了,所以我们一定要避免出现这种情况

既然如此,那么我们直接用#{}就好了,还要${}干嘛呢?他难道有其他的作用吗?确实有的,每个东西都有他存在的道理

4.${}的优点

1.排序查询

我们细心观察就会发现,软件中有很多需要排序的地方,在这种情况下,使⽤ ${sort} 可以实现排序查询,这是为什么呢?

我们写一个方法来测试一下:

 

什么是SQL注入?会带来哪些威胁?我们该如何解决呢?_第4张图片

可以看到报错了,并未查询到我们想要的结果,这是因为当使⽤ #{sort} 查询时,如果传递的值为 String 则会加单引号,就会导致 sql 错误

我们再测试一下${}

什么是SQL注入?会带来哪些威胁?我们该如何解决呢?_第5张图片 

可以看到使用${}正确显示了结果,所以排序只能使用${},虽然它存在sql注入的问题,但是sql注入是因为用户输入的恶意参数导致的,所以我们在排序的时候不让用户输入就可以了,就比如只设置按钮让用户点击就可以了,参数由后端人员来设置,这样就可以避免sql问题了

2.使用like关键字

什么是SQL注入?会带来哪些威胁?我们该如何解决呢?_第6张图片

 

 什么是SQL注入?会带来哪些威胁?我们该如何解决呢?_第7张图片 

什么是SQL注入?会带来哪些威胁?我们该如何解决呢?_第8张图片 

使用#{}运行后我们发现报错了 ,我们再来试试${}

什么是SQL注入?会带来哪些威胁?我们该如何解决呢?_第9张图片 

可以看到使用${}成功查找出来了数据 ,但是使用${}依然存在Sql注入的问题,所以一定要去解决这个问题,但是这个又不能像上面排序一样可以设置按钮,使用like模糊匹配必须得接受用户的参数,那么我们该怎么解决呢?

我们可以使用MySQL的一个内置函数CONACAT,就像下面这样,同样成功查询到了数据

 我们再去测试一下,现在我们在使用#{}就不会有问题了

什么是SQL注入?会带来哪些威胁?我们该如何解决呢?_第10张图片

我们看到结果也是成功显示了,而且也避免了sql注入的问题

5.总结

综上所述,我们发现只要在排序的时候使用${},而在其它地方都一律使用#{},这样就不会出错了

你可能感兴趣的:(springboot,sql,数据库)