一,业务场景再现
今天在处理一个问题的时候用到了like这个关键词,但是放在Mapper.xml中拼接sql的时候抛出了异常,一个是类型不能为空,另一个是无法与实体类对应,大致sql如下SELECT id FROM A where B like '%#{gzlx}%',这里在执行的时候是肯定会抛出异常的,因为#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:where username=#{username},如果传入的值是111,那么解析成sql时的值为where username="111", 如果传入的值是id,则解析成的sql为where username="id".
解决方法我们可以使用${},因为$将传入的数据直接显示生成在sql中。如:where username=${username},如果传入的值是111,那么解析成sql时的值为where username=111;而不会自动添加分号。但是这样一做又会引起sql注入问题,所以我们这里可以这样来操作以避免sql注入,
<select id="findUserById" parameterType="java.util.Map" resultType="java.util.Map">
select * from user where username like CONCAT('%',#{username},'%')
</select>
二,关于mybatis中$与#的深入了解
1、#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。
如:where username=#{username},如果传入的值是111,那么解析成sql时的值为where username="111", 如果传入的值是id,则解析成的sql为where username="id".
2、$将传入的数据直接显示生成在sql中。
如:where username=${username},如果传入的值是111,那么解析成sql时的值为where username=111;
3、针对上面的sql,如果传入的值是;drop table user;,
那么第一条用#{}的sql解析为:select id, username, password, role from user where username=";drop table user;"
那么第二条用${}的sql解析为:select id, username, password, role from user where username=;drop table user;
这时候已经sql注入了。
3、#方式能够很大程度防止sql注入,$方式无法防止Sql注入。
4、$方式一般用于传入数据库对象,例如传入表名和列名,还有排序时使用order by动态参数时需要使用$ ,ORDER BY ${columnName}
5、一般能用#的就别用$,若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止sql注入攻击。
6、在MyBatis中,“${xxx}”这样格式的参数会直接参与SQL编译,从而不能避免注入攻击。但涉及到动态表名和列名时,只能使用“${xxx}”这样的参数格式。所以,这样的参数需要我们在代码中手工进行处理来防止注入。