Mybatis中的concat()函数是如何防止sql注入的 理解整理

前言:
刚开始接触Mybatis时,对于xml文件中的concat()函数的防止sql注入的使用不是太理解,现在终于搞明白的,其实不难理


CustomerMapper.xml文件下的 配置:

	<!-- bind的测试 -->
	<select id="findCustomerByName1" parameterType="customer"
		resultType="customer">
		<bind name="parttern_username" value="username"/>		
		select * from t_customer where username like concat('%',#{parttern_username},'%')
	</select>

测试方法:

	@Test
	public void findCustomerByName1Test() {
		SqlSession sqlSession = MybatisUtils.getSession();
		
		Customer customer = new Customer();
		customer.setUsername("j");
//		customer.setUsername("j and 1 = 1");
		
		List<Customer> list = sqlSession.selectList("com.itheima.mapper.CustomerMapper.findCustomerByName1", customer);
		
		for (Customer customer2 : list) {
			System.out.println(customer2);
		}
		
		// 关闭sqlSession
		sqlSession.close();
		
	}

首先 运行这个语句:customer.setUsername(“j”);
即模糊查询 username中带有 字母"j" 的所有信息

查询结果:
在这里插入图片描述

因为我的数据库中只有是三条数据:
在这里插入图片描述
这说明是成功的,

接下来再简单的试一试sql注入的语句:
customer.setUsername(“j and 1 = 1”);

显示:

在这里插入图片描述
尽管没有报错,但是没有查询到。

不难发现其实,
在上面的代码中,你始终传入的是一个 变量 value的值 ,所以说不管是你传入 “j” 还是传入 “j and 1 = 1” 都被认为是一个username的值,不会出现 把这一个语句分开的情况


补充:
同样的,这种形式 “’%’+username+’%’” 也是可以防止sql注入的,

	<!-- bind的测试 -->
	<select id="findCustomerByName1" parameterType="customer"
		resultType="customer">
		<bind name="parttern_username" value="'%'+username+'%'"/>		
		select * from t_customer where username like #{parttern_username}
	</select>

防止sql注入,尽量不要使用 ‘%${value}%’ 这种形式的,原因其实和上面的类似,在存在sq注入的情况下他是可以直接,把你写的语句给看做是不同部分,分割来对待。

©️2020 CSDN 皮肤主题: 1024 设计师:上身试试 返回首页