mybatis防止sql注入

转自：http://cs-css.iteye.com/blog/1752680

sql注入大家都不陌生，是一种常见的攻击方式，攻击者在界面的表单信息或url上输入一些奇怪的sql片段，例如“or ‘1’=’1’”这样的语句，有可能入侵参数校验不足的应用程序。所以在我们的应用中需要做一些工作，来防备这样的攻击方式。在一些安全性很高的应用中，比如银行软件，经常使用将sql语句全部替换为存储过程这样的方式，来防止sql注入，这当然是一种很安全的方式，但我们平时开发中，可能不需要这种死板的方式。
mybatis框架作为一款半自动化的持久层框架，其sql语句都要我们自己来手动编写，这个时候当然需要防止sql注入。其实Mybatis的sql是一个具有“输入+输出”功能，类似于函数的结构，如下：
<select id="getBlogById" resultType="Blog" parameterType=”int”>
       select id,title,author,content
       from blog where id=#{id}
    </select>
这里，parameterType标示了输入的参数类型，resultType标示了输出的参数类型。回应上文，如果我们想防止sql注入，理所当然地要在输入参数上下功夫。上面代码中高亮部分即输入参数在sql中拼接的部分，传入参数后，打印出执行的sql语句，会看到sql是这样的：
select id,title,author,content from blog where id = ?
不管输入什么参数，打印出的sql都是这样的。这是因为mybatis启用了预编译功能，在sql执行前，会先将上面的sql发送给数据库进行编译，执行时，直接使用编译好的sql，替换占位符“？”就可以了。因为sql注入只能对编译过程起作用，所以这样的方式就很好地避免了sql注入的问题。
mybatis是如何做到sql预编译的呢？其实在框架底层，是jdbc中的PreparedStatement类在起作用，PreparedStatement是我们很熟悉的Statement的子类，它的对象包含了编译好的sql语句。这种“准备好”的方式不仅能提高安全性，而且在多次执行一个sql时，能够提高效率，原因是sql已编译好，再次执行时无需再编译。
话说回来，是否我们使用mybatis就一定可以防止sql注入呢？当然不是，请看下面的代码：
<select id="orderBlog" resultType="Blog" parameterType=”map”>
       select id,title,author,content
       from blog order by ${orderParam}
    </select>
仔细观察，内联参数的格式由“#{xxx}”变为了${xxx}。如果我们给参数“orderParam”赋值为”id”,将sql打印出来，是这样的：
select id,title,author,content from blog order by id
     显然，这样是无法阻止sql注入的。在mybatis中，”${xxx}”这样格式的参数会直接参与sql编译，从而不能避免注入攻击。但涉及到动态表名和列名时，只能使用“${xxx}”这样的参数格式，所以，这样的参数需要我们在代码中手工进行处理来防止注入。
    结论：在编写mybatis的映射语句时，尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数，要手工地做好过滤工作，来防止sql注入攻击。


SQL注入：

如果用户执行

select * from product where id = 5

这条语句。其中5是有用户输入的。

SQL注入的含义就是，一些捣蛋用户输入的不是5，而是
5; delete from orders
那么原来的SQL语句将会变为，
select * from product where id=5; delete from orders
在执行完select后，还将删除orders表里的所有记录。（如果他只删了这些记录，已经谢天谢地了，他可能会做更可怕地事情）。
不过庆幸的是，Ibatis使用的是预编译语句（PreparedStatements ）。
上述语句会被编译为，
select * from product where id=?
从而有效防止SQL注入。
不过当你使用$占位符时就要注意了。
例如：动态的选择列和表
SELECT * FROM $TABLE_NAME$ WHERE $COLUMN_NAME$ = #value#
这时你一定要仔细过滤那些值以避免SQL注入。当然这种情况不只存在Ibatis中。

占位符的注入解决：
iBatis解决sql注入

（1） ibatis xml配置：下面的写法只是简单的转义 name like '%$name$%'

（2） 这时会导致sql注入问题，比如参数name传进一个单引号“'”，生成的sql语句会是：name like '%'%'

（3） 解决方法是利用字符串连接的方式来构成sql语句 name like '%'||'#name#'||'%'

（4） 这样参数都会经过预编译，就不会发生sql注入问题了。

（5） #与$区别:

#xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql语句是这样的 where xxx = 'xxx' ;

$xxx$ 则是把xxx作为字符串拼接到你的sql语句中, 比如 order by topicId , 语句这样写 ... order by #xxx# ibatis 就会把他翻译成



order by 'topicId' （这样就会报错） 语句这样写 ... order by $xxx$ ibatis 就会把他翻译成 order by topicId

1. #将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。如：order by #user_id#，如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id，则解析成的sql为order by "id".
　　
2. $将传入的数据直接显示生成在sql中。如：order by $user_id$，如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id，则解析成的sql为order by id.
　　
3. #方式能够很大程度防止sql注入。


4.$方式无法防止Sql注入。

5.$方式一般用于传入数据库对象，例如传入表名.
　　
6.一般能用#的就别用$.
MyBatis排序时使用order by 动态参数时需要注意，用$而不是#