在实际项目开发遇到如下问题:
使用Mybatis框架时,sql表格随着时间改变名字,在进行sql查询时参数传递报错。做了以下关于mybatis资料的查询和理解。
写XML中的Sql语句时会用到#{},${},这两个语法,
大多数文章推荐在进行属性查询时推荐使用#{},可以有效防止sql注入。
相对于我这种少见的动态表名或者动态属性名可以使用${}。
在mybatis中,#{} 的参数替换是发生在 DBMS 中,而 ${} 则发生在动态解析过程中。举个sql注入的例子:
select * from ${tableName} where name = #{name}
在这个例子中,如果表名为
user; delete user; --
则动态解析之后 sql 如下:
select * from user; delete user; -- where name = ?;
--之后的语句被注释掉,而原本查询用户的语句变成了查询所有用户信息+删除用户表的语句,会对数据库造成重大损伤,极大可能导致服务器宕机。
但是表名用参数传递进来的时候,只能使用 ${} ,具体原因可以自己做个猜测,去验证。这也提醒我们在这种用法中要小心sql注入的问题。