SSM / mybatis
8 分钟 读完 (大约 1244 个字) 0次访问

六、Mybatis中的# 和 $

Mybatis中的# 和 $

准备数据库

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS = 0;

-- ----------------------------
-- Table structure for tb_role
-- ----------------------------
DROP TABLE IF EXISTS `tb_role`;
CREATE TABLE `tb_role`  (
  `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '角色id',
  `role_name` varchar(50) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL COMMENT '角色名称',
  `description` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '角色描述',
  `status` int(1) NOT NULL COMMENT '角色状态,0:启用,1:禁用',
  `create_time` datetime(0) NULL DEFAULT NULL COMMENT '创建时间',
  `create_user` varchar(50) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '创建人',
  `modify_time` datetime(0) NULL DEFAULT NULL COMMENT '修改时间',
  `modify_user` varchar(50) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '修改人',
  PRIMARY KEY (`id`) USING BTREE,
  INDEX `index_role_name`(`role_name`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 1 CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Compact;

-- ----------------------------
-- Records of tb_role
-- ----------------------------
INSERT INTO `tb_role` VALUES (1, 'admin', '超级管理员', 0, '2019-03-01 11:33:09', 'system', '2019-03-05 09:17:41', 'admin');
INSERT INTO `tb_role` VALUES (2, 'develop', '开发人员', 0, '2019-03-01 17:19:55', 'admin', '2019-04-04 10:02:37', 'admin');
INSERT INTO `tb_role` VALUES (3, 'testing', '用于测试人员测试', 0, '2019-03-01 22:14:33', 'admin', '2019-04-04 10:03:05', 'admin');
INSERT INTO `tb_role` VALUES (5, 'guest', '运营', 1, '2019-03-16 10:59:38', 'admin', '2019-04-06 10:46:30', 'admin');
INSERT INTO `tb_role` VALUES (6, 'root', 'root', 0, '2019-09-19 09:46:03', 'admin', '2019-09-19 09:55:25', 'admin');

​ 本案例代码基于前面小节的整合案例,所以此处不再赘述整合代码,如有需要,可以参考前面的SSM整合。

$ 和 # 执行原理

下面我们只讨论#{}与${}的差别.

使用#{}接收参数:

1
select * from tb_role where role_name = #{roleName}

我们看一下上面sql的打印SQL结果:

使用${}接收参数:

1
select * from tb_role where role_name = '${roleName}'

对应的SQL执行结果:

如上两个SQL的执行结果,可以看出:

  • #{value} 会进行SQL预编译,即把参数替换成 ?占位符。
  • ${} 只是进行简单的字符串替换。

SQL 注入

百度百科:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令

正是由于上述差别,${}可能会导致SQL注入,下面我们来看一下:

1
2
-- 传入参数:a'  or '1' = '1
select * from tb_role where role_name = #{roleName}

执行结果如下,无法找到对应的数据:

而当我们使用${} :

1
2
-- 传入参数:a'  or '1' = '1
select * from tb_role where role_name = '${roleName}'

所以,如果使用${} ,可以发现,sql注入是成功的,这样就把数据库中的所有数据,这里只是演示了查询的注入,最多可能会导致数据泄露,如果注入的是更新、删除操作,后果将不堪设想,所以,在这种情况下我们不能使用$ 来接收参数。

说明:我们使用 mybatis 编写 SQL 语句时,难免会使用模糊查询的方法,mybatis 提供了两种方式 #{}${}

  • #{value} 在预处理时,会把参数部分用一个占位符 ? 替代,其中 value 表示接受输入参数的名称。能有效解决 SQL 注入问题
  • ${} 表示使用拼接字符串,将接受到参数的内容不加任何修饰符拼接在 SQL 中,使用${}拼接 sql,将引起 SQL 注入问题。

少不了$

​ 有些人看到前面的 ${} 会导致SQL注入问题,可能会认为,那以后的开发就不再使用 ${}了, 全部使用#{}.正所谓存在就有价值,所以,有些情况,${} 还是需要的使用的。

例如:当我们需要通过参数传递来指定排序字段的时候,我们需要使用${}.

1
2
-- 参数:role_name
select * from tb_role ORDER BY #{orderRoleName}

执行结果如下:

我们可以看出使用#{} 并没有进行排序,此时我们将其更换如下:

1
2
-- 参数:role_name
select * from tb_role ORDER BY ${orderRoleName}

执行结果:

说明:

如果需要动态的传递查询字段和排序字段等情况,我们需要使用$来进行字符串替换。

1
select ${orderRoleName} from tb_role ORDER BY ${orderRoleName}

查询结果:

总结:

  • 能使用#{}的地方,尽量使用
  • 如查询字段,排序字段等,则需要使用${}

附:
这里顺带提下防止sql注入的几种方式(可能不止这几种):

  1. (jdbc使用 PreparedStatement代替Statement, PreparedStatement 不仅提高了代码的可读性和可维护性.而且也提高了安全性,有效防止sql注入;
  2. 在程序代码中使用正则表达式过滤参数。使用正则表达式过滤可能造成注入的符号,如’ –等
  3. 在页面输入参数时也进行字符串检测和提交时进行参数检查,同样可以使用正则表达式,不允许特殊符号出现。

部分参考自:https://www.cnblogs.com/weixuqin/p/9522802.html

#
八、Mybatis整合Spring操作DB
六、一级缓存和二级缓存

评论

关注我

链接

分类

标签云

JavaSE Redis feign gateway hessian idea mybatis mysql nacos rabbitmq ribbon sentinel spring spring4x springboot 新冠肺炎

最新文章

归档

标签

JavaSE 9
Redis 15
feign 3
gateway 5
hessian 1
idea 1
mybatis 9
mysql 1
nacos 10
rabbitmq 1
ribbon 1
sentinel 7
spring 1
spring4x 11
springboot 14
新冠肺炎 1
Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×