代码注入的方法有哪几种（代码注入和命令注入）

今天给各位分享代码注入的方法有哪几种的知识，其中也会对代码注入和命令注入进行解释，如果能碰巧解决你现在面临的问题，别忘了关注本站，现在开始吧！

本文目录一览：

• 1、sql注入攻击方法有哪些
• 2、5.2.4 如何定位关键代码——六种方法
• 3、sql注入的注入方法
• 4、部分sql注入总结
• 5、spring的ioc注入方式有几种
• 6、常见的三种注解注入方式对比

sql注入攻击方法有哪些

1.没有正确过滤转义字符 在用户的输入没有为转义字符过滤时，就会发生这种形式的注入式攻击，它会被传递给一个SQL语句。这样就会导致应用程序的终端用户对数据库上的语句实施操纵。比方说，下面的这行代码就会演示这种漏洞： statement := "SELECT * FROM users WHERE name ='" userName "';" 这种代码的设计目的是将一个特定的用户从其用户表中取出，但是，如果用户名被一个恶意的用户用一种特定的方式伪造，这个语句所执行的操作可能就不仅仅是代码的作者所期望的那样了。例如，将用户名变量(即username)设置为： a' or 't'='t，此时原始语句发生了变化： SELECT * FROM users WHERE name = 'a' OR 't'='t'; 如果这种代码被用于一个认证过程，那么这个例子就能够强迫选择一个合法的用户名，因为赋值't'='t永远是正确的。 在一些SQL服务器上，如在SQL　Server中，任何一个SQL命令都可以通过这种方法被注入，包括执行多个语句。下面语句中的username的值将会导致删除“users”表，又可以从“data”表中选择所有的数据(实际上就是透露了每一个用户的信息)。 a';DROP TABLE users; SELECT * FROM data WHERE name LIKE'% 这就将最终的SQL语句变成下面这个样子： SELECT * FROM users WHERE name = 'a';DROP TABLE users;SELECT * FROM DATA WHERE name LIKE '%'; 其它的SQL执行不会将执行同样查询中的多个命令作为一项安全措施。这会防止攻击者注入完全独立的查询，不过却不会阻止攻击者修改查询。

2.Incorrecttype handling 如果一个用户提供的字段并非一个强类型，或者没有实施类型强制，就会发生这种形式的攻击。当在一个SQL语句中使用一个数字字段时，如果程序员没有检查用户输入的合法性(是否为数字型)就会发生这种攻击。例如： statement := "SELECT * FROM data WHERE id = " a_variable ";" 从这个语句可以看出，作者希望a_variable是一个与“id”字段有关的数字。不过，如果终端用户选择一个字符串，就绕过了对转义字符的需要。例如，将a_variable设置为:1;DROP TABLEusers，它会将“users”表从数据库中删除，SQL语句变成：SELECT * FROM DATA WHERE id = 1;DROP TABLE users;

3.数据库服务器中的漏洞 有时，数据库服务器软件中也存在着漏洞，如MYSQL服务器中mysql_real_escape_string()函数漏洞。这种漏洞允许一个攻击者根据错误的统一字符编码执行一次成功的SQL注入式攻击。

4.盲目SQL注入式攻击 当一个Web应用程序易于遭受攻击而其结果对攻击者却不见时，就会发生所谓的盲目SQL注入式攻击。有漏洞的网页可能并不会显示数据，而是根据 注入到合法语句中的逻辑语句的结果显示不同的内容。这种攻击相当耗时，因为必须为每一个获得的字节而精心构造一个新的语句。但是一旦漏洞的位置和目标信息的位置被确立以后，一种称为Absinthe的工具就可以使这种攻击自动化。

5.条件响应 注意，有一种SQL注入迫使数据库在一个普通的应用程序屏幕上计算一个逻辑语句的值： SELECT booktitle FROM booklist WHERE bookId = 'OOk14cd'AND 1=1 这会导致一个标准的面面，而语句 SELECT booktitle FROM booklist WHERE bookId = 'OOk14cd'AND 1=2在页面易于受到SQL注入式攻击时，它有可能给出一个不同的结果。如此这般的一次注入将会证明盲目的SQL注入是可能的，它会使攻击者根据另外一个 表中的某字段内容设计可以评判真伪的语句。

6.条件性差错 如果WHERE语句为真，这种类型的盲目SQL注入会迫使数据库评判一个引起错误的语句，从而导致一个SQL错误。例如： SELECT 1/0 FROM users WHERE username='Ralph'。显然，如果用户Ralph存在的话，被零除将导致错误。

7.时间延误 时间延误是一种盲目的SQL注入，根据所注入的逻辑，它可以导致SQL引擎执行一个长队列或者是一个时间延误语句。攻击者可以衡量页面加载的时间，从而决定所注入的语句是否为真。 以上仅是对SQL攻击的粗略分类。但从技术上讲，如今的SQL注入攻击者们在如何找出有漏洞的网站方面更加聪明，也更加全面了。出现了一些新型的SQL攻击手段。黑客们可以使用各种工具来加速漏洞的利用过程。我们不妨看看theAsprox Trojan这种木马，它主要通过一个发布邮件的僵尸网络来传播，其整个工作过程可以这样描述：首先，通过受到控制的主机发送的垃圾邮件将此木马安装到电脑上，然后，受到此木马感染的电脑会下载一段二进制代码，在其启动时，它会使用搜索引擎搜索用微软的 ASP技术建立表单的、有漏洞的网站。搜索的结果就成为SQL注入攻击的靶子清单。接着，这个木马会向这些站点发动SQL注入式攻击，使有些网站受到控制、破坏。访问这些受到控制和破坏的网站的用户将会受到欺骗，从另外一个站点下载一段恶意的JavaScript代码。最后，这段代码将用户指引到第三个站点，这里有更多的恶意软件，如窃取口令的木马。 以前，经常有人警告或建议Web应用程序的程序员们对其代码进行测试并打补丁，虽然SQL注入漏洞被发现和利用的机率并不太高。但近来攻击者们越来越多地发现并恶意地利用这些漏洞。因此，在部署其软件之前，开发人员应当更加主动地测试其代码，并在新的漏洞出现后立即对代码打补丁。

如果你是一个开发者，那么你需要：

1.使用参数化的过滤性语句 要防御SQL注入，用户的输入就绝对不能直接被嵌入到SQL语句中。恰恰相反，用户的输入必须进行过滤，或者使用参数化的语句。参数化的语句使用参数而不是将用户输入嵌入到语句中。在多数情况中，SQL语句就得以修正。然后，用户输入就被限于一个参数。下面是一个使用Java和JDBC API例子： PreparedStatement prep =conn.prepareStatement("SELECT * FROM USERS WHERE PASSWORD=?"); prep.setString(1, pwd); 总体上讲，有两种方法可以保证应用程序不易受到SQL注入的攻击，一是使用代码复查，二是强迫使用参数化语句的。强迫使用参数化的语句意味着嵌入用户输入的SQL语句在运行时将被拒绝。不过，目前支持这种特性的并不多。如H2 数据库引擎就支持。

2.还要避免使用解释程序，因为这正是黑客们借以执行非法命令的手段。

3.防范SQL注入，还要避免出现一些详细的错误消息，因为黑客们可以利用这些消息。要使用一种标准的输入确认机制来验证所有的输入数据的长度、类型、语句、企业规则等。

4.使用专业的漏洞扫描工具。但防御SQL注入攻击也是不够的。攻击者们目前正在自动搜索攻击目标并实施攻击。其技术甚至可以轻易地被应用于其它的Web架构中的漏洞。企业应当投资于一些专业的漏洞扫描工具，如大名鼎鼎的Acunetix的Web漏洞扫描程序等。一个完善的漏洞扫描程序不同于网 络扫描程序，它专门查找网站上的SQL注入式漏洞。最新的漏洞扫描程序可以查找最新发现的漏洞。

5.最后一点，企业要在Web应用程序开发过程的所有阶段实施代码的安全检查。首先，要在部署Web应用之前实施安全测试，这种措施的意义比以前更大、更深远。企业还应当在部署之后用漏洞扫描工具和站点监视工具对网站进行测试。

5.2.4 如何定位关键代码——六种方法

笔者经过长时间的探索，总结了以下几种定位代码的方法。 信息反馈法所谓信息反馈法，是指先运行目标程序，然后根据程序运行时给出的反馈信息作为突破口寻找关键代码。在第 2 章中，我们运行目标程序并输入错误的注册码时，会弹出提示无效用户名或注册码，这就是程序反馈给我们的信息。通常情况下，程序中用到的字符串会存储在String.xml文件或者硬编码到程序代码中，如果是前者的话，字符串在程序中会以id 的形式访问，只需在反汇编代码中搜索字符串的id 值即可找到调用代码处；如果是后者的话，在反汇编代码中直接搜索字符串即可。 特征函数法这种定位代码的方法与信息反馈法类似。在信息反馈法中，无论程序给出什么样的反馈信息，终究是需要调用Android SDK 中提供的相关API 函数来完成的。比如弹出注册码错误的提示信息就需要调用Toast.MakeText().Show()方法，在反汇编代码中直接搜索Toast应该很快就能定位到调用代码，如果 Toast在程序中有多处的话，可能需要分析人员逐个甄别。 顺序查看法顺序查看法是指从软件的启动代码开始，逐行的向下分析，掌握软件的执行流程，这种分析方法在病毒分析时经常用到。 代码注入法代码注入法属于动态调试方法，它的原理是手动修改 apk 文件的反汇编代码，加入Log 输出，配合 LogCat查看程序执行到特定点时的状态数据。这种方法在解密程序数据时经常使用，详细的内容会在本书的第8 章介绍。 栈跟踪法栈跟踪法属于动态调试方法，它的原理是输出运行时的栈跟踪信息，然后查看栈上的函数调用序列来理解方法的执行流程，这种方法的详细内容会在本书的第8 章介绍。 Method Profiling（方法剖析）属于动态调试方法，它主要用于热点分析和性能优化。

sql注入的注入方法

先猜表名

And (Select count(*) from 表名)0

猜列名

And (Select count（列名） from 表名）0

或者也可以这样

and exists (select * from 表名）

and exists (select 列名 from 表名）

返回正确的，那么写的表名或列名就是正确

这里要注意的是，exists这个不能应用于猜内容上，例如and exists (select len(user) from admin)3 这样是不行的

很多人都是喜欢查询里面的内容，一旦iis没有关闭错误提示的，那么就可以利用报错方法轻松获得库里面的内容

获得数据库连接用户名：；and user0

这个是小竹提出来的，我这里引用《SQL注入天书》里面的一段话来讲解：

重点在and user0，我们知道，user是SQLServer的一个内置变量，它的值是当前连接的用户名，类型为nvarchar。拿一个 nvarchar的值跟int的数0比较，系统会先试图将nvarchar的值转成int型，当然，转的过程中肯定会出错，SQLServer的出错提示是：将nvarchar转换int异常，XXXX不能转换成int

看到这里大家明白了吧，报错的原理就是利用SQLserver内置的系统表进行转换查询，转换过程会出错，然后就会显示出在网页上，另外还有类似的and 1=(selet top 1 user from admin），这种语句也是可以爆出来的。；and db_name()0 则是暴数据库名。

一旦关闭了IIS报错，那么还可以用union（联合查询）来查内容，主要语句就是

Order by 10

And 1=2 union select 1,2,3,4,5,6,7,8,9,10 from admin

And 1=2 union select 1,2,3,user,5,passwd,7,8,9,10 from admin

上面的order by 10主要就是查字段数目，admin就是表名，可以自己猜，user,passwd是列名

反正就是返回正确即对，返回异常即错

另外还有十分常用的ASCII码拆半法

先要知道指定列名，例如user里的内容的长度

and (select len(user) from admin)=2 就是查询长度为不为2位，返回错误的增加或减少数字，一般这个数字不会太大，太大的就要放弃了，猜也多余

后面的逻辑符号可以根据不同要求更改的，

；大于 ；小于 =就是等于咯，更新语句的话，=也可以表示传递符号 ；就是不等

知道了长度后就可以开始猜解了

And (Select top 1 asc(mid(user,n,1)) from admin)100

n就是猜解的表名的第几位，最后的长度数字就是刚才猜解出来的列名长度了，And (Select top 1 asc(mid(user,1,1)) from admin)100 就是猜解user里内容的第一位的ASCII字符是不是大于100

正确的话，那么表示USER第一个字符的ASCII码大于100，那么就猜120，返回错误就是介于100－120之间，然后再一步一步的缩少，最终得到正确字符XXX，然后用ASCII转换器吧这个转换成普通字符就可以了

然后就是第二位 And (Select top 1 asc(mid(user,2,1)) from admin)100 一直猜下去

加在url后面，列名表名还是先猜解，返回正确的代表帐号的ASCII码大于100，那么就再向前猜，直到报错，把猜出来的ASCII码拿去ASCII转换器转换就可以了，中文是负数，加上asb取绝对值

And (Select top 1 asb(asc(mid(user,n,1))) from admin)15320

得到之后就记得在数字前加-号，不然ASCII转换器转换不来的，中文在ASCII码里是-23423这样的，所以猜起来挺麻烦

这个猜解速度比较慢，但是效果最好，最具有广泛性 后台身份验证绕过漏洞

验证绕过漏洞就是'or'='or'后台绕过漏洞，利用的就是AND和OR的运算规则，从而造成后台脚本逻辑性错误

例如管理员的账号密码都是admin，那么再比如后台的数据库查询语句是

user=request(user)

passwd=request(passwd)

sql='select admin from adminbate where user=''''user'''' and passwd=''''passwd'''

那么我使用'or 'a'='a来做用户名密码的话，那么查询就变成了

select admin from adminbate where user=''or 'a'='a' and passwd=''or 'a'='a'

这样的话，根据运算规则，这里一共有4个查询语句，那么查询结果就是 假or真and假or真，先算and 再算or，最终结果为真，这样就可以进到后台了

这种漏洞存在必须要有2个条件，第一个：在后台验证代码上，账号密码的查询是要同一条查询语句，也就是类似

sql=select * from admin where username='username'passwd='passwd'

如果一旦账号密码是分开查询的，先查帐号，再查密码，这样的话就没有办法了。

第二就是要看密码加不加密，一旦被MD5加密或者其他加密方式加密的，那就要看第一种条件有没有可以，没有达到第一种条件的话，那就没有戏了 防御方法

对于怎么防御SQL注入呢，这个网上很多，我这里讲几个

如果自己编写防注代码，一般是先定义一个函数，再在里面写入要过滤的关键词，如select ; “”；from；等，这些关键词都是查询语句最常用的词语，一旦过滤了，那么用户自己构造提交的数据就不会完整地参与数据库的操作。

当然如果你的网站提交的数据全部都是数字的，可以使用小竹提供的方法

Function SafeRequest(ParaName,ParaType)

'--- 传入参数 ---

'ParaName：参数名称-字符型

'ParaType：参数类型-数字型（1表示以上参数是数字，0表示以上参数为字符）

Dim ParaValue

ParaValue=Request(ParaName)

If ParaType=1 then

If not isNumeric(ParaValue) then

Response.write 参数 ParaName 必须为数字型！

Response.end

End if

Else

ParaValue=replace(ParaValue,','')

End if

SafeRequest=ParaValue

End function

然后就用SafeRequest（）来过滤参数 ，检查参数是否为数字，不是数字的就不能通过。 SQL注入的手法相当灵活，在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析，构造巧妙的SQL语句，从而成功获取想要的数据，是高手与“菜鸟”的根本区别。

部分sql注入总结

本人ctf选手一名，在最近做练习时遇到了一些sql注入的题目，但是sql注入一直是我的弱项之一，所以写一篇总结记录一下最近学到的一些sql注入漏洞的利用。

在可以联合查询的题目中，一般会将数据库查询的数据回显到首页面中，这是联合注入的前提。

适用于有回显同时数据库软件版本是5.0以上的MYSQL数据库,因为MYSQL会有一个系统数据库information_schema， information_schema 用于存储数据库元数据(关于数据的数据)，例如数据库名、表名、列的数据类型、访问权限等

联合注入的过程：

判断注入点可以用and 1=1/and 1=2用于判断注入点

当注入类型为数字型时返回页面会不同,但都能正常执行。

sql注入通常为数字型注入和字符型注入：

1、数字型注入

数字型语句：

在这种情况下直接使用and 1=1/and 1=2是都可以正常执行的但是返回的界面是不一样的

2、字符型注入

字符型语句：

字符型语句输入我们的输入会被一对单引号或这双引号闭合起来。

所以如果我们同样输入and 1=1/and 1=2会发现回显画面是并无不同的。

在我们传入and 1=1/and 1=2时语句变为

传入的东西变成了字符串并不会被当做命令。

所以字符型的测试方法最简单的就是加上单引号 ' ，出现报错。

加上注释符--后正常回显界面。

这里还有的点就是sql语句的闭合也是有时候不同的，下面是一些常见的

这一步可以用到order by函数，order by 函数是对MySQL中查询结果按照指定字段名进行排序，除了指定字 段名还可以指定字段的栏位进行排序，第一个查询字段为1，第二个为2，依次类推，所以可以利用order by就可以判断列数。

以字符型注入为例：

在列数存在时会正常回显

但是列数不存在时就会报错

这步就说明了为什么是联合注入了，用到了UNION，UNION的作用是将两个select查询结果合并

但是程序在展示数据的时候通常只会取结果集的第一行数据，这就让联合注入有了利用的点。

当我们查询的第一行是不存在的时候就会回显第二行给我们。

讲查询的数据置为-1，那第一行的数据为空，第二行自然就变为了第一行

在这个基础上进行注入

可以发现2，3都为可以利用的显示点。

和前面一样利用union select，加上group_concat()一次性显示。

现在非常多的Web程序没有正常的错误回显，这样就需要我们利用报错注入的方式来进行SQL注入了

报错注入的利用步骤和联合注入一致，只是利用函数不同。

以updatexml为例。

UpdateXML(xml_target, xpath_expr, new_xml)

xml_target： 需要操作的xml片段

xpath_expr： 需要更新的xml路径(Xpath格式)

new_xml： 更新后的内容

此函数用来更新选定XML片段的内容，将XML标记的给定片段的单个部分替换为 xml_target 新的XML片段 new_xml ，然后返回更改的XML。xml_target替换的部分 与xpath_expr 用户提供的XPath表达式匹配。

这个函数当xpath路径错误时就会报错，而且会将路径内容返回，这就能在报错内容中看到我们想要的内容。

而且以~开头的内容不是xml格式的语法，那就可以用concat函数拼接~使其报错，当然只要是不符合格式的都可以使其报错。

[极客大挑战 2019]HardSQL

登录界面尝试注入，测试后发现是单引号字符型注入，且对union和空格进行了过滤，不能用到联合注入，但是有错误信息回显，说明可以使用报错注入。

利用updatexml函数的报错原理进行注入在路径处利用concat函数拼接~和我们的注入语句

发现xpath错误并执行sql语句将错误返回。

在进行爆表这一步发现了等号也被过滤，但是可以用到like代替等号。

爆字段

爆数据

这里就出现了问题flag是不完整的，因为updatexml能查询字符串的最大长度为32，所以这里要用到left函数和right函数进行读取

报错注入有很多函数可以用不止updatexml一种，以下三种也是常用函数：

堆叠注入就是多条语句一同执行。

原理就是mysql_multi_query() 支持多条sql语句同时执行，用;分隔，成堆的执行sql语句。

比如

在权限足够的情况下甚至可以对数据库进行增删改查。但是堆叠注入的限制是很大的。但是与union联合执行不同的是它可以同时执行无数条语句而且是任何sql语句。而union执行的语句是有限的。

[强网杯 2019]随便注

判断完注入类型后尝试联合注入，发现select被过滤，且正则不区分大小写过滤。

那么就用堆叠注入，使用show就可以不用select了。

接下去获取表信息和字段信息

那一串数字十分可疑大概率flag就在里面，查看一下

这里的表名要加上反单引号，是数据库的引用符。

发现flag，但是没办法直接读取。再读取words，发现里面有个id字段，猜测数据库语句为

结合1'or 1=1#可以读取全部数据可以利用改名的方法把修改1919810931114514为words，flag修改为id，就可以把flag读取了。

最终payload：

盲注需要掌握的几个函数

在网页屏蔽了错误信息时就只能通过网页返回True或者False判断，本质上是一种暴力破解，这就是布尔盲注的利用点。

首先，判断注入点和注入类型是一样的。

但是盲注没有判断列数这一步和判断显示位这两步，这是和可回显注入的不同。

判断完注入类型后就要判断数据库的长度，这里就用到了length函数。

以[WUSTCTF2020]颜值成绩查询为例

输入参数后，发现url处有个get传入的stunum

然后用到length函数测试是否有注入点。

发现页面有明显变化

将传入变为

页面回显此学生不存在

那么就可以得出数据库名长度为3

测试发现过滤了空格

然后就是要查数据库名了，这里有两种方法

一、只用substr函数，直接对比

这种方法在写脚本时可以用于直接遍历。

二、加上ascii函数

这个payload在写脚本时直接遍历同样可以，也可用于二分法查找，二分法速度更快。

接下来的步骤就和联合注入一样，只不过使用substr函数一个一个截取字符逐个判断。但是这种盲注手工一个一个注十分麻烦所以要用到脚本。

直接遍历脚本

二分法脚本

时间盲注用于代码存在sql注入漏洞，然而页面既不会回显数据，也不会回显错误信息

语句执行后也不提示真假，我们不能通过页面的内容来判断

所以有布尔盲注就必有时间盲注，但有时间盲注不一定有布尔盲注

时间盲注主要是利用sleep函数让网页的响应时间不同从而实现注入。

sql-lab-less8：

无论输入什么都只会回显一个you are in...，这就是时间盲注的特点。

当正常输入?id=1时时间为11毫秒

判断为单引号字符型注入后，插入sleep语句

明显发现响应时间为3053毫秒。

利用时间的不同就可以利用脚本跑出数据库，后续步骤和布尔盲注一致。

爆库

爆表

爆字段

脚本

在进行SQL注入时,发现union,and,or被完全过滤掉了,就可以考虑使用异或注入

什么是异或呢

异或是一种逻辑运算，运算法则简言之就是：两个条件相同（同真或同假）即为假（0），两个条件不同即为真（1），null与任何条件做异或运算都为null，如果从数学的角度理解就是，空集与任何集合的交集都为空

即 1^1=0,0^0=0,1^0=1

利用这个原理可以在union，and，or都被过滤的情况下实现注入

[极客大挑战 2019]FinalSQL

给了五个选项但是都没什么用，在点击后都会在url处出现?id。

而且union，and，or都被过滤

测试发现?id=1^1会报错

但是?id=1^0会返回?id=1的页面，这就是前面说的原理，当1^0时是等于1的所以返回?id=1的页面。

根据原理写出payload，进而写出脚本。

爆库

爆表

爆字段

据此可以写出基于异或的布尔盲注脚本

实验推荐：课程:SQL注入初级(合天网安实验室)

spring的ioc注入方式有几种

一、Set注入

二、构造器注入

三、静态工厂的方法注入

内容拓展：

一、Set注入

1、这是最简单的注入方式，假设有一个SpringAction，类中需要实例化一个SpringDao对象，那么就可以定义一个private的SpringDao成员变量，然后创建SpringDao的set方法（这是ioc的注入入口）。

2、随后编写spring的xml文件，bean中的name属性是class属性的一个别名，class属性指类的全名，因为在SpringAction中有一个公共属性Springdao，所以要在bean标签中创建一个property标签指定SpringDao。property标签中的name就是SpringAction类中的SpringDao属性名，ref指下面bean name="springDao"...，这样其实是spring将SpringDaoImpl对象实例化并且调用SpringAction的setSpringDao方法将SpringDao注入。

二、构造器注入

1、这种方式的注入是指带有参数的构造函数注入，看下面的例子，我创建了两个成员变量SpringDao和User，但是并未设置对象的set方法，所以就不能支持第一种注入方式，这里的注入方式是在SpringAction的构造函数中注入，也就是说在创建SpringAction对象时要将SpringDao和User两个参数值传进来。

2、在XML文件中同样不用property的形式，而是使用constructor-arg标签，ref属性同样指向其它bean标签的name属性。

三、静态工厂的方法注入

1、静态工厂顾名思义，就是通过调用静态工厂的方法来获取自己需要的对象，为了让spring管理所有对象，我们不能直接通过"工程类.静态方法()"来获取对象，而是依然通过spring注入的形式获取。

2、同样看关键类，这里我需要注入一个FactoryDao对象，这里看起来跟第一种注入一模一样，但是看随后的xml会发现有很大差别。

常见的三种注解注入方式对比

java

field 注入方式是使用最多的，原因是这种方式使用起来非常简单，代码更加简洁。

java

在 Spring 3.x 刚推出的时候，Spring 官方在对比构造器注入和 Setter 注入时，推荐使用 Setter 方法注入：

Spring 3.x Constructor-based or setter-based DI?

意思是说，当出现很多注入项的时候，构造器参数可能会变得臃肿，特别是当参数时可选的时候。Setter 方式注入可以让类在之后重新配置和重新注入；

java

Spring 4.x 的时候，Spring 官方在对比构造器注入和 Setter 注入时，推荐使用构造器注入方式：

Spring 4.x Constructor-based or setter-based DI?

因为使用构造器注入方式注入的组件 不可变 ，且保证了需要的依赖 不为 null 。此外，构造器注入的组件总是能够在 完全初始化的状态 返回给客户端（调用方）；对于很多参数的构造器说明可能包含了太多了职责，违背了单一职责原则，表示代码应该重构来分离职责到合适的地方。

在对比 Setter 方法注入和 构造器注入的时候 分别引用的 Spring 官方文档的第二段阐述了除推荐方式的另一种方式的特点。

在 Spring 3.x 的时候 Spring 推荐 Setter 方法注入，第二段表示：一些纯粹主义者喜欢基于构造函数的注入。提供所有对象依赖项意味着对象总是在完全初始化状态下返回给客户机(调用)代码。缺点是对象不太容易重新配置和重新注入。

在 Spring 4.x 的时候 Spring 推荐构造器注入，第二段表示：Setter 注入应该主要用于可选的依赖项，这些依赖项可以在类中分配合理的默认值。否则，必须在代码使用依赖项的任何地方执行非空检查。setter 注入的一个好处是，setter 方法使该类的对象能够在以后重新配置或重新注入。

Setter 注入 应该被用于可选依赖项。当没有提供它们时，类应该能够正常工作。在对象被实例化之后，依赖项可以在任何时候被更改。

构造器注入 有利于强制依赖。通过在构造函数中提供依赖，您可以确保依赖对象在被构造时已准备好被使用。在构造函数中赋值的字段也可以是final的，这使得对象是完全不可变的，或者至少可以保护其必需的字段。

构造器注入还可以避免 Field 注入 的循环依赖问题，比如 在 Alpha 中注入 Beta，又在 Beta 中注入 Alpha。如果使用构造器注入，在 Spring 启动的时候就会抛出 BeanCurrentlyInCreationException 提醒循环依赖。

参考：

关于代码注入的方法有哪几种和代码注入和命令注入的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。