目录
什么是sql注入?
SQL注入:通过控制输入来修改事先定义好的SQL语句,以达到执行代码对服务器进行攻击的方法。
SQL注入最典型的场景,就是用户登录功能。
登录操作的原理:
在进行登录操作时,怎么样才算登录成功呢? 如果我们查询到了数据,就说明用户名密码是对的。 如果没有查询到数据,就说明用户名或密码错误。
select count(*) from emp where username ='' and password=''
如果返回大于0,说明登录成功
如果返回小于0,说明登录失败
我们编写的SQL语句是基于字符串直接进行拼接的(问题所在) 。 我们输入的用户名无所谓,比如:shfhsjfhja ,而密码呢,就是我们精心设计的,如:' or '1' = '1 。
那最终拼接的SQL语句,如下所示:
我们知道,or 连接的条件,是或的关系,两者满足其一就可以。 所以,虽然用户名密码输入错误,也是可以查询返回结果的,而只要查询到了数据,就说明用户名和密码是正确的。--这就出现了sql注入的问题。
SQL注入如何解决?
而通过预编译SQL(select * from user where username = ? and password = ?),就可以直接解决上述SQL注入的问题。
在预编译SQL语句中,当我们执行的时候,会把整个' or '1'='1作为一个完整的参数,赋值给第2个问号(等价于对' or '1'='1进行了转义(关键之处),只当做字符串使用)
那么此时再查询时,就查询不到对应的数据了,登录失败。
注意:在以后的项目开发中,我们使用的基本全部都是预编译SQL语句。
并且使用预编译的sql性能会更高。
如何在Mybatis 中实现删除操作?
需求:根据ID删除用户信息
SQL:delete from user where id = 5;
Mapper接口方法:
方式一:
/**
* 根据id删除
*/
@Delete("delete from user where id = 5")
public void deleteById();这种方式执行删除操作,调用deleteById方法只能删除id为5的用户信息,因为将id直接写死在代码中了,不可取。
方式二:
/**
* 根据id删除
*/
@Delete("delete from user where id = #{id}")
public void deleteById(Integer id);在Mybatis中,我们可以通过参数占位符号 #{...} 来占位,在调用deleteById方法时,传递的参数值,最终会替换占位符。
编写单元测试方法进行测试:
在单元测试类中,增加如下测试方法.
@Test
public void testDeleteById(){
userMapper.deleteById(36);
}运行单元测试,结果如下:
运行之后,我们发现,#{...} 占位符,其实最终被替换成了 ?占位符,生成的是预编译的SQL语句。【推荐】
DML语句执行完毕,是有返回值的,我们可以为Mapper接口方法定义返回值来接收,如下:
/**
* 根据id删除
*/
@Delete("delete from user where id = #{id}")
public Integer deleteById(Integer id);Integer类型的返回值,表示DML语句执行完毕影响的记录数。(小细节)
Mybatis的提供的符号,有两个,一个是
#{...},另一个是${...},区别如下:
| 符号 | 说明 | 场景 | 优缺点 |
| #{…} | 占位符。执行时,会将#{…}替换为?,生成预编译SQL | 参数值传递 | 安全、性能高 (推荐) |
| ${…} | 拼接符。直接将参数拼接在SQL语句中,存在SQL注入问题 | 表名、字段名动态设置时使用 | 不安全、性能低 |
在企业项目开发中,强烈建议使用 #{...} 。
小结:
1. Mybatis 中执行 DML 语句时,有没有返回值?• 有, int类型 ,表示 DML 语句执行影响的记录数2. Mybatis 中 # 与 $ 的区别是什么 ? (面试题)• # 是 占位符 ,会替换为?生成预编译 SQL (推荐)• $ 是 字符串拼接符号 , 将参数值直接拼接在 SQL 中