mybatis中的sql注入:
#{id} : #号,启用预编译功能,执行前会先将sql发送给数据库进行编译,执行时,直接使用编译好的sql替换占位符?即可。用的是PreparedStatement
${table}:${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。这个必须手动处理过滤一下输入的内容。
下面介绍几种查询避免sql注入的案例
1.模糊查询like的两种修复建议:
select * from user where name like '%${name}%'; /*有注入风险sql*/
处理方式1:在程序中校验并拼接%后,直接用#格式,如下
select * from user where name like #{name}
处理方式2:在xml配置中用sql的内置函数拼接,如下
select * from user where name like concat('%',#{name},'%');
-----------------------------------------------------------------------------------------
2.in查询的注入修复建议
select * from user where id in
<foreach collection="ids" item="item" open="("separator="," close=")">#{item}</foreach>
-----------------------------------------------------------------------------------------
3.order by修复建议
select * from userorder by #{name} desc /*有问题sql*/
因为预编译机制只能处理查询参数,此处显然不是查询参数,需要开发人员自己处理。所以只能这样拼接:
select * from userorder by ${name} desc
针对这种情况研开发人员可以通过程序来进行解决。比如制定一个规则,判断执行此程序时是否需要排序,然后把排序的字段传进来,这样比较简单。