MyBatis的排序
引言
最近在项目开发中遇到一个问题,项目中使用的的MyBatis的排序功能被安全部门扫描出了SQL注入安全隐患,查看安全报告说是有一个接口中存在SQL注入的安全漏洞,检查后发现是因为该接口中的排序功能使用了的MyBatis中的$ {}。
#{}与$ {}的区别
默认情况下,使用#{}格式的语法会导致MyBatis的创建的PreparedStatement参数并安全地设置参数(就像使用?一样)。这样做更安全,更迅速,通常也是首选做法,不过有时你就是想直接在SQL语句中插入一个不转义的字符串。比如,像ORDER BY,你可以这样来使用:ORDER BY $ {COLUMNNAME}。这里的MyBatis不会修改或者转义字符串。
以上是官网中的说明,官网给出的解决方案是不允许用户输入这些字段或者执行转义并检验。显然不允许用户输入这些字段是不现实的,那么唯一的途径就是执行转义并检验了。
解决方案
1#{}能处理吗?
一开始想着既然#{}可以防止SQL注入,也可以设置参数,那么就试试。先看看SQL客户端的执行情况
测试表中只有四行记录,默认顺序如上图,使用排序语句select * from tb_oder order by age;查询结果如下
sql默认的排序是asc,也就是升序。那么我修改sql语句为select * from tb_oder order by'agers';执行如何?
排序失效。我再次修改sql为select * from tb_oder order by`age`;执行结果为
排序成功,就是说这个引号是可以使用的然后我加上降序标识查询,结果如下:
查询成功
现在看看的MyBatis的#{}的实现:
结果并未排序,原因就是上面的第三种情况。
2.解决方案
项目中已经有多处mapperXML文件中使用了$ {},需要写一个通用的方式完成排序,且支持多字段不同顺序的排序。这时的MyBatis的插件功能就用上了。请查看之前的博客HTTPS://blog.csdn.net/tony_java_2017/article/details/80804409。只要,在执行前将我们的排序规则拼写在SQL后面即可例如,SELECT * FROM tb_oder需要排序,那么我们从插件的方法中获取到该sql语句然后拼接为select * from tb_oder order by age desc,name;即可。现在轮子这么多,你也不用自己写,pagHelper已经帮你完成了,看看源码就知道了。
3.pageHelper排序实现
引用坐标:
<dependency>
<groupId>com.github.pagehelper</groupId>
<artifactId>pagehelper</artifactId>
<version>4.1.0</version>
</dependency>
在你要排序的select mapper语句前调用形如PageHelper.orderBy(“age desc,name”)即可;
源码如下