一、问题导向
今天在实现文件上传数据库测试中,发现了一个略微容易被问题。虽然业务层可以约束空字符串的传入。但是测试DAO数据层时,被同事发现,说我:“为什么不加1=0”。
请看问题。
如果用户账号为空,则有分页输出全部数据库表的隐患。
二、对策
1、在业务层约束account不为空并且不等于 “”。
如果在 account 为空并且"" 时,查询条件不被限制,这可能导致查询结果过于宽泛。查询的安全性和准确性就失效了。在MyBatis的xml文本中的if限制条件就失效了。
2、使用AND 1=0。
AND 1=0:这是一个总是为假的条件,它会阻止查询返回任何结果。当account为空或""时,这个条件会确保查询不会返回数据。
这种方法确保了即使在没有有效 account 的情况下,查询也不会返回所有记录,保持了查询的安全性。
三、代码如下
通过 SQL 语句来处理这种情况。你可以使用 CASE 语句或者添加额外的条件来确保当 account 为空或 "" 时,不返回任何数据。例如:
<select id="selectPngUrlByPage" resultMap="PngUrlMap">
SELECT id, url, time, account, state, remark
FROM png_url
WHERE state = #{state}
<if test="account != null and account != ''">
AND account = #{account}
</if>
<if test="account == null or account == ''">
AND 1=0 <!-- 永远不满足的条件 -->
</if>
ORDER BY time DESC
LIMIT #{startIndex}, #{pageSize}
</select>
1706
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
