SQL中# 与$ 的区别

但是表名用参数传递进来的时候,只能使用 ${} 。这也提醒在这种用法中要小心sql注入的问题。

一、什么是SQL注入

引用搜狗百科:

  SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。SQL注入攻击是黑客对数据库进行攻击的常用手段之一。
  所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。

(4)$方式无法防止sql注入。

二、Mybatis3.0防止SQL注入

  一、SQL中#与$符号的区别

    

    #相当于对数据 加上 双引号,$相当于直接显示数据

 

    1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的                sql为order by "id".
  
    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为order by user_id,  如果传入的值是id,则解析成的sql为order by id.
  
    3. #方式能够很大程度防止sql注入。
  
    4.$方式无法防止Sql注入。

金沙官网线上,    5.$方式一般用于传入数据库对象,例如传入表名.
  
    6.一般能用#的就别用$.

    MyBatis排序时使用order by 动态参数时需要注意,用$而不是#

    字符串替换
      默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改                    变的字符串。比如,像 ORDER BY,你可以这样来使用:
      ORDER BY ${columnName}
      这里MyBatis不会修改或转义字符串。

    重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。

 

  二、Mybatis3.0中使用like进行模糊查询,防止SQL注入攻击

 

    #{xxx},使用的是PreparedStatement,会有类型转换,所以比较安全;

    ${xxx},使用字符串拼接,可以SQL注入;

    like查询不小心会有漏动,正确写法如下:

    Mysql: select * from t_user where name like concat('%', #{name}, '%')      

    Oracle: select * from t_user where name like '%' || #{name} || '%'      

    SQLServer: select * from t_user where name like '%' + #{name} + '%'

 

 

防止SQL注入方法:

(5)$方式一般用于传入数据库对象,例如传入表名。(这里得注意SQL注入问题

(3)#方式在很大程度上能够防止sql注入。

(2)$将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是id,则解析成的sql为order by id。

select * from user; delete user; -- where name = ?;

(3)参数绑定PreparedStatement。

 

(2)正则表达式,字符串过滤。

   user; delete user; --

总结区别:#{} 传入值时,sql解析时,参数是带引号的,而${}穿入值,sql解析时,参数是不带引号的。

--之后的语句被注释掉,而原本查询用户的语句变成了查询所有用户信息+删除用户表的语句,会对数据库造成致命损伤。

本文由金沙官网线上发布于数据库,转载请注明出处:SQL中# 与$ 的区别

您可能还会对下面的文章感兴趣: