在mybatis的mapper.xml中,入参我们可以用#和$符号来取,那么,这两个有什么区别及联系呢,常说$容易带来sql注入风险,到底是怎么样的呢?今天,直接通过代码实践,看看两者有什么区别。
测试数据为:
1:通过#取值,入参为studentId,代码如下:
<mapper namespace="com.example.demo.DAO.HelloWorldDAO">
<select id="query" parameterType="String" resultType="student">
select * from student where studentId = #{studentId}
</select>
</mapper>
1)入参studentId如下图所示:
运行返回结果为:
2)入参studentId如下图所示:
运行返回结果为:
2:通过$取值,入参为studentId,代码如下:
<mapper namespace="com.example.demo.DAO.HelloWorldDAO">
<select id="query" parameterType="String" resultType="student">
select * from student where studentId = ${studentId}
</select>
</mapper>
1)入参studentId如下图所示:
运行结果如下图:
2)入参studentId如下图所示:
运行返回结果如下图:结果跟预期的不同
以上测试了四种场景,可以看到其中三种场景结果跟预期相同。当用$取值,我们看到入参studentId=“15 or 1=1”的时候,竟然返回了表的全部数据,表中studentId没有为这个值的啊。出现这个结果,就是我们常说的sql注入,通过一些恶意的命令,破坏数据、获取关键信息等。那么,我们应该如何避免这种现象的发生呢?小伙伴看到了上面当用#取值时,即使拼接恶意命令,对返回的数据没有影响,完成了正确的响应,有效的避免了sql注入的风险。
既然$取值的时候,存在sql注入风险,那么$什么时候可以用呢?like模糊查询、order by等场景可用$取值。
总结:1:#可以有效的防止sql注入,$不能防止sql注入;
2:#预编译是采用占位符的方式?,$则是字符串值替换。
知识就是要不断的学习,不断的复习,才会记忆的更加的深刻。加油,美好的风景一直在路上。