什么是SQL注入
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。(百度百科)
例如攻击者在密码栏上输入 ' or 1 = 1 # ,如果后台是通过SQL直接拼接用户输入来做查询的话,攻击者就可以成功侵入了。如:
SELECT * FROM user WHERE uername=' ' or 1 = 1 # ' AND password = ''
由于 1 = 1 是恒等式,所以该 SQL 就相当于:
SELECT * FROM user
所以后端需要对类似的攻击做好防备,不能简单的使用字符串拼接来做SQL查询。
#{}与${}的区别
对于#{}:
<select id="getUserById" resultType="User" parameterType="java.lang.Integer">
SELECT uid, username
FROM user
WHERE uid = #{uid}
</select>
MyBatis 的 #{} 底层其实是靠 JDBC 的 PreparedStatement 类实现 SQL 的预编译:
SELECT uid, username FROM user WHERE uid = ?
然后通过 parameterType 确定传入的参数类型,将预编译好的 SQL 中的占位符 "?" 替换成传入的参数。
因为 SQL 注入只对编译过程起作用,所以这样就可以很好地避免 SQL注入的问题了。而且在多次执行同一个SQL时,能够提高效率。原因是SQL已编译好,再次执行时无需再编译。
对于${}:
<select id="getUserById" resultType="User" parameterType="java.lang.Integer">
SELECT uid, username
FROM user
WHERE uid = ${uid}
</select>
在MyBatis中,${} 这样格式的参数会直接参与SQL编译,从而不能避免注入攻击,就好像前面 SQL 注入所提到的例子一样。
但涉及到动态表名和列名时,只能使用 ${} 这样的参数格式。
因为使用 #{} 的话就好比使用 parameterType 的 setString() 方法插入字符串,但这样做是会让参数带上单引号的。如
总结
在编写MyBatis的SQL时,尽量采用#{}。除非有需要才使用${},但要注意做好过滤工作,防止SQL注入攻击。
#{}:相当于JDBC中的PreparedStatement,会帮我们预编译再替换其中的 ?
${}:是直接输出变量的值,然后拼接成 SQL 执行