目录
1. 以基本类型参数为例测试#{ }与${ }传递参数的区别
3.2 对比#{ } 与 ${ }在SQL注入方面存在的问题
使用MyBatis进行数据库操作在进行参数传递时,有#{ } 与 ${ }两种方式。
本文介绍两种方式的区别;
1. 以基本类型参数为例测试#{ }与${ }传递参数的区别
1.1 参数为Integer类型
在UserInfoMapper文件中创建selectOne方法,分别使用#{ } 与 ${ }传递参数:
package com.zhouyou.mybatisdemo1.mapper;
import com.zhouyou.mybatisdemo1.model.UserInfo;
import org.apache.ibatis.annotations.*;
import java.util.List;
@Mapper
public interface UserInfoMapper {
@Select("select* from userinfo where id= #{id}")
UserInfo selectOne(Integer id);
}编写测试类UserInfoMapperTest及测试方法:
package com.zhouyou.mybatisdemo1.mapper;
import com.zhouyou.mybatisdemo1.model.UserInfo;
import lombok.extern.slf4j.Slf4j;
import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.context.SpringBootTest;
import java.util.List;
import static org.junit.jupiter.api.Assertions.*;
@Slf4j
@SpringBootTest
class UserInfoMapperTest {
@Autowired
private UserInfoMapper userInfoMapper;
@Test
void selectOne() {
log.info(userInfoMapper.selectOne(4).toString());
}
}使用#{ }的运行测试类情况:
使用${ }的运行测试类情况:
可见当参数为Intgeer类型时,使用#{ } 与 ${ }均可正确传递参数;
1.2 参数为String类型
在UserInfoMapper文件中创建selectOneByName方法,分别使用#{ } 与 ${ }传递参数:
package com.zhouyou.mybatisdemo1.mapper;
import com.zhouyou.mybatisdemo1.model.UserInfo;
import org.apache.ibatis.annotations.*;
import java.util.List;
@Mapper
public interface UserInfoMapper {
@Select("select* from userinfo where username =#{username}")
// @Select("select* from userinfo where username =${username}")
UserInfo selectOneByName(String name);
}
编写测试类UserInfoMapperTest及测试方法:
package com.zhouyou.mybatisdemo1.mapper;
import com.zhouyou.mybatisdemo1.model.UserInfo;
import lombok.extern.slf4j.Slf4j;
import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.context.SpringBootTest;
import java.util.List;
import static org.junit.jupiter.api.Assertions.*;
@Slf4j
@SpringBootTest
class UserInfoMapperTest {
@Autowired
private UserInfoMapper userInfoMapper;
@Test
void selectOneByName() {
log.info(userInfoMapper.selectOneByName("zhangsan").toString());
}
}启动测试类,
对于使用#{ } 进行参数传递的方法,可正确运行;
对于使用${ } 进行参数传递的方法报错如下:
使用#{ }时,如果参数为String类型,会自动加上' ' ,
使用${ }时,会直接进行拼接,故如果参数为字符串类型,需手动增加 ' ',修改SQL语句如下:
@Select("select* from userinfo where username ='${username}'")重启测试类,启动成功,日志如下:
2. 使用#{ }传参存在的问题
2.1 参数为排序方式
现以实现升序(参数为asc)或降序(参数为desc)的全列查询为例,分别使用#{ } 与 ${ }进行参数传递:
1、使用#{ }进行参数传递:
在UserInfoMapper中编写排序方法:
// 排序
@Select("select* from userinfo order by id #{sort}")
List<UserInfo> selectUserBySort(String sort);生成测试方法并对排序结果进行打印:
@Test
void selectUserBySort() {
log.info(userInfoMapper.selectUserBySort("asc").toString());
}启动测试类,报错如下:
2、使用${ }参数传递:
在UserInfoMapper中编写修改排序方法,使用${ }传参:
@Select("select* from userinfo order by id ${sort}")
List<UserInfo> selectUserBySort(String sort);启动测试类,运行成功:
可见当参数为sql查询语句的排序方式:asc与desc时,若使用#{ }进行参数传递,则在该字符串上加上' '会造成错误,因此对于参数为排序方式的方法,只能使用${ }进行参数传递;
不止排序方式,包括参数为表名、字段名等作为参数时,也不能使用#{ }进行参数传递;
2.2 模糊查询
1、使用#{ }参数传递:
在UserInfoMapper中编写排序方法:
// 模糊查询
@Select("select* from userinfo where username like '%#{partPara}%' ")
List<UserInfo> selectUserByLike(String partPara);生成测试方法并对排序结果进行打印:
@Test
void selectUserByLike() {
log.info(userInfoMapper.selectUserByLike("tian").toString());
}启动测试类,报错如下:
可见由于#{ }由于增加引号,也使得模糊查询出现问题。
2、使用${ }参数传递:
在UserInfoMapper中修改排序方法,使用${ }传递参数:
// 模糊查询
@Select("select* from userinfo where username like '%${partPara}%' ")
List<UserInfo> selectUserByLike(String partPara);启动测试类,运行成功,查询结果如下:
3. 使用${ }传参存在的问题
3.1 SQL注入
SQL注入:是指将另外的SQL语句作为参数,执行后修改了原本的SQL语句,从而通过执行代码对服务器进行攻击。
比如:正常SQL如下:以参数为'admin'为例:
select* from userinfo where username= 'admin'试传参为 'or 1 = ' 1,(使用'or 1 = ' 1直接替换admin),则SQL语句变为:
select* from userinfo where username= ''or 1 = ' 1'1='1'恒成立,故会导致进行全列查询,获取userinfo整张表的信息。
3.2 对比#{ } 与 ${ }在SQL注入方面存在的问题
1、使用# { }传参:
在UserInfoMapper文件中创建selectOneByName方法,使用#{ } 传递参数:
package com.zhouyou.mybatisdemo1.mapper;
import com.zhouyou.mybatisdemo1.model.UserInfo;
import org.apache.ibatis.annotations.*;
import java.util.List;
@Mapper
public interface UserInfoMapper {
@Select("select* from userinfo where username =${username}")
UserInfo selectOneByName(String name);
}
编写测试类UserInfoMapperTest及测试方法:
package com.zhouyou.mybatisdemo1.mapper;
import com.zhouyou.mybatisdemo1.model.UserInfo;
import lombok.extern.slf4j.Slf4j;
import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.context.SpringBootTest;
import java.util.List;
import static org.junit.jupiter.api.Assertions.*;
@Slf4j
@SpringBootTest
class UserInfoMapperTest {
@Autowired
private UserInfoMapper userInfoMapper;
@Test
void selectOneByName() {
log.info(userInfoMapper.selectOneByName("'or 1='1 ").toString());
}
}运行启动类,可见发生了SQL注入,使得查询到了整张表的信息:
2、使用# { }传参:
修改UserInfoMapper文件中的selectOneByName方法,改为使用#{ }传参:
@Select("select* from userinfo where username =#{username}")
List<UserInfo> selectOneByName(String name);重新启动测试类,查询结果如下:
可见使用#{ }进行参数传递并未发生SQL注入问题;
3.3 预编译SQL与即时SQL
1、对于使用#{ }进行参数传递的SQL语句采取预编译的方式,称为预编译SQL,SQL执行会进行语法解析、SQL优化、SQL编译等步骤,可避免SQL注入的发生;
2、对于使用${ }进行参数传递的SQL语句采取即时的方式,称为即时SQL,直接对参数进行拼接,有出现SQL注入的风险;
可见综合比对,使用#{}进行参数传递是更安全的选择。
3.4 解决模糊查询只能使用${}的问题
为了防止模糊查询使用${ }进行参数传递时导致的SQL注入问题,可以使用mysql的内置函数CONCAT搭配#{ }进行参数传递实现模糊查询:
@Select("select* from userinfo where username like CONCAT('%',#{partPara},'%')")
List<UserInfo> selectUserByLike(String partPara);测试函数传递参数为tian:
在实际开发中,尽量都使用#{ }进行传递。