参数的引用有两种常见的方式:${} 和 #{},但是${}存在SQL注入的安全问题。
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。
在 MyBatis中,#{}是预编译处理,${}是字符串替换。
MyBatis在处理#{}时,会将 sql 中的 #{}替换为?号,调用PreparedStatement的 set方法来赋值;
MyBatis在处理${}时,是把${}替换成变量的值。
来看一个例子:
在mybatis中,如果使用 ${} 来进行参数引用:
<select id="selectUserInfo" parameterType = "java.util.Map" resultMap ="BaseResultMap">
select count(1) from student
where username = ${username} and password = ${password}
</select>
首先我们要知道:
$将传入的数据直接显示生成在sql中。
如果接收到参数为username= Foo,password = 123456,那么将解析成 sql 时的值为:
select count(1) from student
where username = Foo and password = 123456
那如果接收到的参数为username= Foo --,password = ,那么将解析成 sql 时的值为
select count(1) from student where username = Foo-- and password = 123456
我们可以看到,-- 在SQL中起到了注释作用,将后面的password注释掉了,故只要数据库中存在username=Foo的用户,即可以实现免密登录。
如果传入的值是 username= ; drop table student,则后果可想而知:
select count(1) from student where username=;drop table student;
那么,#{} 是如何防止SQL注入的呢?
同样的例子:
如果接收到参数为username= Foo,password = 123456,那么将解析成 sql 时的值为:
select count(1) from student
where username = "Foo" and password = "123456"
即对于#{}引用参数,不管传进来的是什么,#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号,这样就能够在很大程度防止SQL注入,提高系统安全性。
所以一般我们使用mybatis来引入参数时,能用#的就别用,若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止sql注入攻击。
参考:SQL注入详解