一、模糊查询
image.png
1.1、抽象接口
List<Map<String,Object>> selectLIKEUser(Map<String,Object> parmsMap);
1.2、xml
- 看到这个就知道为啥字段如果是like的话要用票号包起来了吧?
<select id="selectLIKEUser" resultType="map" parameterType="map">
select
*
from
user
where
name like "%"#{name}"%"
</select>
1.3、测试类
@Test
public void selectLIKEUser() {
SqlSession session = MybatisUtils.getSession();
UserMapper mapper = session.getMapper(UserMapper.class);
Map<String,Object> parmsMap = new HashMap<>();
parmsMap.put("name","面");
List<Map<String,Object>> resultList = mapper.selectLIKEUser(parmsMap);
for (Map map: resultList){
System.out.println(map);
}
session.close();
}
1.4、执行结果
- 数据
image.png
- 结果
image.png
二、SQL注入
2.1、#和$的区别
-
将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。
- $将传入的数据直接显示生成在sql中。
-
方式能够很大程度防止sql注入,$方式无法防止Sql注入。
- $方式一般用于传入数据库对象,例如传入表名。
- 一般能用#的就别用
{xxx}”这样的参数,要手工地做好过滤工作,来防止SQL注入攻击。
2.2、#和$验证
①我们使用log4j来将SQL执行语句打印在控制台上。
- 导入jar
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.6.1</version>
</dependency>
- log4j2.properties
log4j.rootLogger=DEBUG,console,file
log4j.appender.console = org.apache.log4j.ConsoleAppender
log4j.appender.console.Target = System.out
log4j.appender.console.Threshold=DEBUG
log4j.appender.console.layout = org.apache.log4j.PatternLayout
log4j.appender.console.layout.ConversionPattern=[%c]-%m%n
log4j.appender.file = org.apache.log4j.RollingFileAppender
log4j.appender.file.File=log/tibet.log
log4j.appender.file.MaxFileSize=10mb
log4j.appender.file.Threshold=ERROR
log4j.appender.file.layout=org.apache.log4j.PatternLayout
log4j.appender.file.layout.ConversionPattern=[%p][%d{yy-MM-dd}][%c]%m%n
log4j.logger.org.mybatis=DEBUG
log4j.logger.java.sql=DEBUG
log4j.logger.java.sql.Statement=DEBUG
log4j.logger.java.sql.ResultSet=DEBUG
log4j.logger.java.sql.PreparedStatement=INFO
- ContextAplication.xml
<settings>
<setting name="logImpl" value="STDOUT_LOGGING"></setting>
</settings>
- 这样就开启了日志输出,这里只介绍最简单的,不作详细讲解log4j日志。
②SQL-xml
<select id="getUserInfoById" resultType="com.dbright.pojo.User">
select * from user where id = #{id}
</select>
- $
<select id="getUserInfoById" resultType="com.dbright.pojo.User">
select * from user where id = ${id}
</select>
③分别执行结果
image.png
$
image.png
2.3、如何模拟sql注入?
- 注入非法语句:
image.png
结果:查出了所有的数据,不安全
image.png
如何解决呢?
- 能用#就用
- 一定要用$的情况下,在service增加验证,比如我们的例子,只接受int类型的参数即可。
- 或者简单地判断一下参数是否超过长度,因为注入语句一般很长!
网友评论