我们都知道${}对应的就是字符串直接拼接参数,从而会有SQL注入的风险。#{}对应的就是占位符?和setString()拼接参数,不会有SQL注入的风险。先简单聊聊sql注入。
什么是SQL注入?
先看两段代码,假如id的值为字符串"100",每段代码最后拼接出来的SQL是不一样的。
字符串直接拼接参数:
public static ResultSet executeInject(Connection connection, String id) {
String sql = "select * from order_info where id = " + id;
PreparedStatement stmt = connection.prepareStatement(sql);
return stmt.executeQuery();
}
通过占位符?和setString()方法拼接参数:
public static ResultSet executeNormal(Connection connection, String id) {
String sql = "select * from order_info where id = ?";
PreparedStatement stmt = connection.prepareStatement(sql);
stmt.setString(1, id);
return stmt.executeQuery();
}
假如id的值是字符串"100",那么以上两段代码最终拼出来的SQL为:
字符串直接拼接参数的结果:
"select * from order_info where id = 100"
通过占位符?和setString()方法拼接参数的结果:
"select * from order_info where id = '100'"
对于id=100
来说,id是varchar,100是int,对于mysql来说要做类型转换,这个过程其实是会导致一些问题。
如果现在用户乱写,给id传的值为"100 or 1=1",那么拼出来的SQL为:
字符串直接拼接参数的结果:
"select * from order_info where id = 100 or 1=1"
通过占位符?和setString()方法拼接参数的结果:
"select * from order_info where id = '100 or 1=1'"
可以看到直接拼接参数的将能查出全部数据,因为or 1=1
生效了,而通过占位符?和setString拼接的则不会出现问题,因为它被包裹在''里了,这就是SQL注入漏洞。
${}和#{}的区别
区别就是开头那句话,${}对应的就是字符串直接拼接参数,从而会有SQL注入的风险。#{}对应的就是占位符?和setString()拼接参数,不会有SQL注入的风险。
开启MybatisPlus的日志打印,先测试${}符号:
select * from order_info where id = ${id}
id为"10",结果会正常查出一条数据,id为"10 or 1=1",结果会查出全部数据,因为or 1=1生效了,发生了SQL注入。
再测试#{}符号:
select * from order_info where id = #{id}
id为"10",结果会正常查出一条数据,id为"10 or 1=1",结果会查不到数据。
使用场景
那#{}和${}实际编码中到底该如何使用呢?
经过查阅资料,建议在where条件后尽量使用#{},用来防止SQL注入。
${}可以用在select之后,用来动态传入待查询字段,比如select ${col} where...
,如果col的值为"name",那么拼出来的sql为select name where...
,这是正常的,而如果用#{}拼出来的就是select 'name' where...
,变成了固定返回"name"这个字符串了,就会是有问题的。