项目中遇到了这样的情况,在页面的文本域输入一堆某表的编号,每行是一个编号,用这些编号在后台查询数据库表的code字段。
比如输入的编号是:
AAA
BBB
CCC
错误示范:
从前台页面获得参数后,参数用\n分割,加好双引号和逗号,最后拼成一个类似”AAA”,”BBB”,”CCC”的字符串,在xml配置中使用 code in (${codeArray})的形式把字符串传给数据库,就像这样:
<if test="codeArray !=null">
code in (${codeArray})
</if>
处理之后的sql大概是这样的:
select * from table where code in (”AAA”,”BBB”,”CCC”);
存在的问题:可能出现sql注入
比如:如果在文本域输入的内容是123") or true or (id=",最后拼成的sql就会是这样的:
select * from table where code in (“123”)or true or (id=””);
查询的结果会是表内所有的记录。
建议的方式:使用#{},列表的情况可以用mybatis的<foreach>标签来配合,比如这样:
<if test="codeArray !=null">
code in
<foreach collection="codeArray" item="item" index="index"open="(" close=")" separator=",">
#{value}
</foreach>
</if>
这种方式最后处理的结果是这样的:
select * from tablewhere code in
(
?
)
[" 123\") or true or(id=\""]
不会查询出所有的结果,避免了SQL注入。
所以,能用#{}就不要用${}了。