Mybatis
在mybatis中使用 #{} 和 ${} 来进行参数值替换,使用 #{} 语法时,MyBatis 会自动生成 PreparedStatement ,使用参数绑定 ( ?) 的方式来设置值,上述两个例子等价的 JDBC 查询代码如下:
String sql = "SELECT * FROM users WHERE id = ?";
PreparedStatement ps = connection.prepareStatement(sql);
ps.setInt(1, id);
因此 #{} 可以有效防止 SQL 注入。
而使用 ${} 语法时,MyBatis 会直接注入原始字符串,即相当于拼接字符串,因而会导致 SQL 注入,如
<select id="getByName" resultType="org.example.User">
SELECT * FROM user WHERE name = '${name}' limit 1
</select>
name 值为 ’ or ‘1’='1,实际执行的语句为
SELECT * FROM user WHERE name = ''or '1'='1'limit 1
因此建议尽量使用 #{},但有些时候,如 order by 语句,使用 #{} 会导致出错,如:
ORDER BY #{sortBy}
sortBy 参数值为 name ,替换后会成为:
ORDER BY "name"
即以字符串 “name” 来排序,而非按照 name 字段排序
这种情况就需要使用 ${}
ORDER BY ${sortBy}
使用了 ${}后,使用者需要自行过滤输入,方法有:代码层使用白名单的方式,限制 sortBy 允许的值,如只能为 name, email 字段,异常情况则设置为默认值 name
在 XML 配置文件中,使用 if 标签来进行判断
Mapper 接口方法
List<User> getUserListSortBy(@Param("sortBy") String sortBy);
xml 配置文件
<select id="getUserListSortBy" resultType="org.example.User">
SELECT * FROM user
<if test="sortBy == 'name' or sortBy == 'email'">
order by ${sortBy}
</if>
</select>
因为 Mybatis 不支持 else,需要默认值的情况,可以使用 choose(when,otherwise)
<select id="getUserListSortBy" resultType="org.example.User">
SELECT * FROM user
<choose>
<when test="sortBy == 'name' or sortBy == 'email'">
order by ${sortBy}
</when>
<otherwise>
order by name
</otherwise>
</choose>
</select>
除了 orderby之外,还有一些可能会使用到 ${} 情况,比如 表名
扫一扫
6034
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
