彻底干掉恶心的SQL注入漏洞， 一网打尽！

而使用 ${} 语法时，MyBatis 会直接注入原始字符串，即相当于拼接字符串，因而会导致 SQL 注入，如 

<select id="getByName" resultType="org.example.User">  
        SELECT * FROM user WHERE name = '${name}' limit 1  
    </select> 

name 值为 ' or '1'='1，实际执行的语句为 

SELECT * FROM user WHERE name = '' or '1'='1' limit 1  

因此建议尽量使用 #{}，但有些时候，如 order by 语句，使用 #{} 会导致出错，如

ORDER BY #{sortBy} 

sortBy 参数值为 name ，替换后会成为 

ORDER BY "name" 

即以字符串 “name” 来排序，而非按照 name 字段排序

详细可参考: https://stackoverflow.com/a/32996866/6467552

这种情况就需要使用 ${}

ORDER BY ${sortBy} 

使用了 ${}后，使用者需要自行过滤输入，方法有：

代码层使用白名单的方式，限制 sortBy 允许的值，如只能为 name, email 字段，异常情况则设置为默认值 name

在 XML 配置文件中，使用 if 标签来进行判断

Mapper 接口方法 

List<User> getUserListSortBy(@Param("sortBy") String sortBy); 

xml 配置文件 

<select id="getUserListSortBy" resultType="org.example.User">  
     SELECT * FROM user  
     <if test="sortBy == 'name' or sortBy == 'email'">  
       order by ${sortBy}  
     </if>  
   </select> 

因为 Mybatis 不支持 else，需要默认值的情况，可以使用 choose(when,otherwise) 

<select id="getUserListSortBy" resultType="org.example.User">  
     SELECT * FROM user  
     <choose>  
       <when test="sortBy == 'name' or sortBy == 'email'">  
         order by ${sortBy}  
       </when>  
       <otherwise>  
         order by name  
       </otherwise>      
    </choose>  
   </select> 

更多场景

除了 orderby之外，还有一些可能会使用到 ${} 情况，可以使用其他方法避免，如

like 语句

•  如需要使用通配符 ( wildcard characters % 和 _) ，可以
•  在代码层，在参数值两边加上 %，然后再使用 #{}
•  使用 bind 标签来构造新参数，然后再使用 #{}

Mapper 接口方法 

List<User> getUserListLike(@Param("name") String name); 

xml 配置文件 

<select id="getUserListLike" resultType="org.example.User">  
       <bind name="pattern" value="'%' + name + '%'" />  
       SELECT * FROM user  
       WHERE name LIKE #{pattern}  
   </select> 

<bind> 语句内的 value 为 OGNL expression

具体可参考 :

http://www.mybatis.org/mybatis-3/dynamic-sql.html

（编辑：信阳站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!