2023-10学习笔记

1.sql注入

不管是上一篇博客,通过java代码执行sql

还是我们常用的Mybatis的#{}和${}

都会提到sql注入的问题

1.1啥是sql注入

应该知道是说传入无关的参数,比如本来是想要一个where条件查询参数 但是你拼了一个drop

比如 原来的sql 

select * from table_a where a.name = ${}

然后你传入

s;drop table table_a;

那此时整个sql就变成了

select * from table_a where a.name = s;drop table table_a;

你查完把表删了

1.2为什么#{}就可以防止sql注入

还是用1.1的例子,把${}改成#{}

你原来

select * from table_a where a.name = #{}

你传入

 s;drop table table_a;

sql最后变成了

select * from table_a where a.name = 's;drop table table_a;'

看到没, 你只是传进来了一个字符串而已,对数据安全啥影响没有

1.3 java代码直接执行sql怎么防止sql注入

PreparedStatement

通过?占位符 和 参数绑定的方式

【运维】PreparedStatement防止SQL注入_37543485的博客-CSDN博客

2023-10学习笔记_第1张图片

参数化查询:

        PreparedStatement允许您将SQL查询字符串与查询参数分开。查询参数是在执行查询之前预编译的,因此不会受到用户输入的直接影响。
        查询参数以占位符的形式(通常是问号?)出现在SQL查询字符串中,而不是将用户输入嵌入到查询中。
预编译:

        在执行之前,PreparedStatement会将SQL查询字符串和参数一起发送到数据库进行预编译。在这个阶段,数据库会验证参数的数据类型,并确保不会对它们进行解释为SQL代码的尝试。
参数绑定:

        一旦查询预编译完成,您可以将参数值绑定到查询参数上。这些参数值将替代占位符,并且由数据库安全地处理。
参数绑定通常使用setXXX()方法,其中XXX是参数的数据类型(例如,setString()、setInt()等)。
安全性:

        由于参数是在查询执行之前绑定的,数据库可以确保它们不会被解释为SQL代码。这样,即使用户恶意输入带有SQL注入攻击的数据,也不会影响查询的执行。
        参数化查询还能够防止常见的SQL注入攻击,例如将单引号 ' 插入到查询中,因为这些字符会被视为参数的一部分而不是SQL代码的一部分。

 2.Mybatis中if标签中的and后要有空格

本来不写空格也没事,但是为了代码规范,好看些 and后都会有空格 。

但是我这次没加空格,在 标签共同使用的情况下,居然没给我自动去掉第一个and 导致sql执行报错了

至今不知道为啥,但是为了代码好看,还是加上吧

2023-10学习笔记_第2张图片

 3.时间格式的前后端转换

3.1后端用date接收前端字符串日期

前台传字符串日期参数,后台用Date接收;后台Date类型,前台自动转日期字符串「建议收藏」 - 思创斯聊编程

    @DateTimeFormat(pattern = "yyyy-MM-dd HH:mm:ss")
    Date dateEnd;

3.2 后端date返回给前端日期字符串

 @JsonFormat(pattern = ""yyyy-MM-dd HH:mm:ss"", timezone = "GMT+8")
    Date taskLatestStartTime;

4.boolean类型的属性定义不要用is开头

2023-10学习笔记_第3张图片

你可能感兴趣的:(学习,笔记)