前言:
刚开始接触Mybatis时,对于xml文件中的concat()函数的防止sql注入的使用不是太理解,现在终于搞明白的,其实不难理
CustomerMapper.xml文件下的 配置:
<!-- bind的测试 -->
<select id="findCustomerByName1" parameterType="customer"
resultType="customer">
<bind name="parttern_username" value="username"/>
select * from t_customer where username like concat('%',#{parttern_username},'%')
</select>
测试方法:
@Test
public void findCustomerByName1Test() {
SqlSession sqlSession = MybatisUtils.getSession();
Customer customer = new Customer();
customer.setUsername("j");
// customer.setUsername("j and 1 = 1");
List<Customer> list = sqlSession.selectList("com.itheima.mapper.CustomerMapper.findCustomerByName1", customer);
for (Customer customer2 : list) {
System.out.println(customer2);
}
// 关闭sqlSession
sqlSession.close();
}
首先 运行这个语句:customer.setUsername(“j”);
即模糊查询 username中带有 字母"j" 的所有信息
查询结果:
因为我的数据库中只有是三条数据:
这说明是成功的,
接下来再简单的试一试sql注入的语句:
customer.setUsername(“j and 1 = 1”);
显示:
尽管没有报错,但是没有查询到。
不难发现其实,
在上面的代码中,你始终传入的是一个 变量 value的值 ,所以说不管是你传入 “j” 还是传入 “j and 1 = 1” 都被认为是一个username的值,不会出现 把这一个语句分开的情况
补充:
同样的,这种形式 “’%’+username+’%’” 也是可以防止sql注入的,
<!-- bind的测试 -->
<select id="findCustomerByName1" parameterType="customer"
resultType="customer">
<bind name="parttern_username" value="'%'+username+'%'"/>
select * from t_customer where username like #{parttern_username}
</select>
防止sql注入,尽量不要使用 ‘%${value}%’ 这种形式的,原因其实和上面的类似,在存在sq注入的情况下他是可以直接,把你写的语句给看做是不同部分,分割来对待。