mybatis的sql中使用$会出现sql注入示例:

模拟简单登录场景：

页面代码：

functionlogin(){//sql注入

var user ={

username :"‘李雪雷3‘ or 1=1",

password :"‘ab0715‘",

}

$.ajax({

url:‘/api/test/login.json‘,

type:"POST",

data: JSON.stringify(user),//将对象序列化成JSON字符串

dataType: "json",

contentType :‘application/json;charset=utf-8‘, //设置请求头信息

async: false,

success:function(result) {debugger;

$("#dis").html(result.data);

},

error:function(xhr, ajaxOptions, thrownError) {debugger;

alert("出错了");

}

})

}

controller：

@RequestMapping("/login")

@ResponseBodypublicBaseResponse login(HttpServletRequest request, HttpServletResponse response, @RequestBody UserParam userParam){try{

User user=userService.selectByCon(userParam);if(user != null){return BaseResponse.successCustom().setData("登录成功").build();

}return BaseResponse.successCustom().setData("登录失败").build();//return BaseResponse.successCustom().setData(returnVal).build();

}catch(Exception e){

e.printStackTrace();return BaseResponse.failedCustom("系统异常").build();

}

}

service接口：

User selectByCon(UserParam userParam);

service实现类：

@OverridepublicUser selectByCon(UserParam userParam) {

User user=userMapper.selectByCon(userParam);returnuser;

}

mapper接口：

User selectByCon(UserParam userParam);

mapper.xml文件：

使用$的sql：

selectfrom user2

where 1=1and username = ${username}

and password = ${password}

数据库用户表user2数据：

运行程序：

编译后的sql：

SELECTusername,

PASSWORDFROMuser2WHERE

1 = 1

AND username = ‘李雪雷3‘

OR 1 = 1

AND PASSWORD = ‘ab0715‘

执行结果：

登录成功：

利用了sql注入漏洞骗过了口令从而登录成功。在账号正确的前提下，密码不管输入什么都能成功登录。

说明：

如果使用$写的sql，我们可以利用sql注入漏洞来进行攻击。如果进行表的删除及数据修改sql注入，而数据库没有备份数据，那将是毁灭性的。

=============================================

使用#的sql：

selectfrom user2

where 1=1and username = #{username}

and password = #{password}

运行程序：

编译后的sql：

SELECTusername,

PASSWORDFROMuser2WHERE

1 = 1

AND username =?AND PASSWORD = ?

加入参数，翻译过来就是：

SELECTusername,

PASSWORDFROMuser2WHERE

1 = 1

AND username = "‘李雷雷3‘ or 1=1"AND PASSWORD = "‘ab0715‘"

执行结果：

说明：

使用#的sql进行了预编译，用？接受参数。如果是字符串的参数，则使用" "双引号括起来，有效防止了sql注入。

=========================================

补充：

预编译的好处：

在执行SQL命令时，有二种选择：可以使用PreparedStatement对象，也可以使用Statement对象。

而熟悉JDBC编程的大侠们都会选择使用PreparedStatement对象，主要因为使用预编译对象PreparedStatement时，有以下几个优点：

1、效率高

PreparedStatement可以尽可能的提高访问数据库的性能，我们都知道数据库在处理SQL语句时都有一个预编译的过程，而预编译对象就是把一些格式固定的SQL编译后，存放在内存池中即数据库缓冲池，当我们再次执行相同的SQL语句时就不需要预编译的过程了，只需DBMS运行SQL语句。所以当你需要执行Statement对象多次的时候，PreparedStatement对象将会大大降低运行时间，特别是的大型的数据库中，它可以有效的也加快了访问数据库的速度。

2、大大提高代码的可读性和可维护性

例如我们在向数据库插入数据：

一种是使用Statement对象

java.sql.Statement   stmt=conn.createStatement();

stmt.executeUpdate("insert into student (name,id,number,count) values (‘"+var1+"‘,‘"+var2+"‘,"+var3+",‘"+var4+"‘)");   另一种是使用PreparedStatement对象

String  sql ="insert into student values(null,?,?,?)";

java.sql.PreparedStatement pstmt=conn.preparedStatement(sql);

pstmt.setString(1,var1); pstmt.setString(2,var2); pstmt.setString(3,var3); pstmt.setString(4,var4); pstmt.executeUpdate();

使用占位符？代替

将参数与SQL语句分离出来，这样就可以方便对程序的更改和延续，同样，也可以减少不必要的错误。

3、开源防止SQL注入(最主要的)

什么时候使用预编译语句？

一般是在需要反复使用一个SQL语句时才使用预编译语句，预编译语句常常放在一个fo r或者while循环里面使用，通过反复设置参数从而多次使用该SQL语句。为了防止SQL注入漏洞，在某些数据操作中也使用预编译语句。