Mybatis3.0防止SQL注入

一、什么是SQL注入

引用搜狗百科：

　　SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，比如很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击。SQL注入攻击是黑客对数据库进行攻击的常用手段之一。
　　所谓SQL注入式攻击，就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击。

二、Mybatis3.0防止SQL注入

　　一、SQL中#与$符号的区别

　　　　

　　　　#相当于对数据 加上 双引号，$相当于直接显示数据

 

　　　　1. #将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。如：order by #user_id#，如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id，则解析成的                sql为order by "id".
　　
　　　　2. $将传入的数据直接显示生成在sql中。如：order by $user_id$，如果传入的值是111,那么解析成sql时的值为order by user_id,  如果传入的值是id，则解析成的sql为order by id.
　　
　　　　3. #方式能够很大程度防止sql注入。
　　
　　　　4.$方式无法防止Sql注入。

　　　　5.$方式一般用于传入数据库对象，例如传入表名.
　　
　　　　6.一般能用#的就别用$.


　　　　MyBatis排序时使用order by 动态参数时需要注意，用$而不是#


　　　　字符串替换
　　　　　　默认情况下，使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值（比如?）。这样做很安全，很迅速也是首选做法，有时你只是想直接在SQL语句中插入一个不改                    变的字符串。比如，像 ORDER BY，你可以这样来使用：
　　　　　　ORDER BY ${columnName}
　　　　　　这里MyBatis不会修改或转义字符串。

　　　　重要：接受从用户输出的内容并提供给语句中不变的字符串，这样做是不安全的。这会导致潜在的SQL注入攻击，因此你不应该允许用户输入这些字段，或者通常自行转义并检查。

 

　　二、Mybatis3.0中使用like进行模糊查询，防止SQL注入攻击

 

　　　　#{xxx}，使用的是PreparedStatement，会有类型转换，所以比较安全；

　　　　${xxx}，使用字符串拼接，可以SQL注入；

　　　　like查询不小心会有漏动，正确写法如下：

　　　　Mysql: select * from t_user where name like concat('%', #{name}, '%')      

　　　　Oracle: select * from t_user where name like '%' || #{name} || '%'      

　　　　SQLServer: select * from t_user where name like '%' + #{name} + '%'