Mybatis中的# 和 $
准备数据库
SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS = 0;
-- ----------------------------
-- Table structure for tb_role
-- ----------------------------
DROP TABLE IF EXISTS `tb_role`;
CREATE TABLE `tb_role` (
`id` int(11) NOT NULL AUTO_INCREMENT COMMENT '角色id',
`role_name` varchar(50) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL COMMENT '角色名称',
`description` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '角色描述',
`status` int(1) NOT NULL COMMENT '角色状态,0:启用,1:禁用',
`create_time` datetime(0) NULL DEFAULT NULL COMMENT '创建时间',
`create_user` varchar(50) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '创建人',
`modify_time` datetime(0) NULL DEFAULT NULL COMMENT '修改时间',
`modify_user` varchar(50) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '修改人',
PRIMARY KEY (`id`) USING BTREE,
INDEX `index_role_name`(`role_name`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 1 CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Compact;
-- ----------------------------
-- Records of tb_role
-- ----------------------------
INSERT INTO `tb_role` VALUES (1, 'admin', '超级管理员', 0, '2019-03-01 11:33:09', 'system', '2019-03-05 09:17:41', 'admin');
INSERT INTO `tb_role` VALUES (2, 'develop', '开发人员', 0, '2019-03-01 17:19:55', 'admin', '2019-04-04 10:02:37', 'admin');
INSERT INTO `tb_role` VALUES (3, 'testing', '用于测试人员测试', 0, '2019-03-01 22:14:33', 'admin', '2019-04-04 10:03:05', 'admin');
INSERT INTO `tb_role` VALUES (5, 'guest', '运营', 1, '2019-03-16 10:59:38', 'admin', '2019-04-06 10:46:30', 'admin');
INSERT INTO `tb_role` VALUES (6, 'root', 'root', 0, '2019-09-19 09:46:03', 'admin', '2019-09-19 09:55:25', 'admin');
本案例代码基于前面小节的整合案例,所以此处不再赘述整合代码,如有需要,可以参考前面的SSM整合。
$ 和 # 执行原理
下面我们只讨论#{}与${}的差别.
使用#{}接收参数:
select * from tb_role where role_name = #{roleName}
我们看一下上面sql的打印SQL结果:
使用${}接收参数:
select * from tb_role where role_name = '${roleName}'
对应的SQL执行结果:
如上两个SQL的执行结果,可以看出:
#{value}会进行SQL预编译,即把参数替换成?占位符。${}只是进行简单的字符串替换。
SQL 注入
百度百科:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
正是由于上述差别,${}可能会导致SQL注入,下面我们来看一下:
-- 传入参数:a' or '1' = '1
select * from tb_role where role_name = #{roleName}
执行结果如下,无法找到对应的数据:
而当我们使用${} :
-- 传入参数:a' or '1' = '1
select * from tb_role where role_name = '${roleName}'
所以,如果使用${} ,可以发现,sql注入是成功的,这样就把数据库中的所有数据,这里只是演示了查询的注入,最多可能会导致数据泄露,如果注入的是更新、删除操作,后果将不堪设想,所以,在这种情况下我们不能使用$ 来接收参数。
说明:我们使用 mybatis 编写 SQL 语句时,难免会使用模糊查询的方法,mybatis 提供了两种方式 #{} 和 ${} 。
#{value}在预处理时,会把参数部分用一个占位符 ? 替代,其中 value 表示接受输入参数的名称。能有效解决 SQL 注入问题${}表示使用拼接字符串,将接受到参数的内容不加任何修饰符拼接在 SQL 中,使用${}拼接 sql,将引起 SQL 注入问题。
少不了$
有些人看到前面的 ${} 会导致SQL注入问题,可能会认为,那以后的开发就不再使用 ${}了, 全部使用#{}.正所谓存在就有价值,所以,有些情况,${} 还是需要的使用的。
例如:当我们需要通过参数传递来指定排序字段的时候,我们需要使用${}.
-- 参数:role_name
select * from tb_role ORDER BY #{orderRoleName}
执行结果如下:
我们可以看出使用#{} 并没有进行排序,此时我们将其更换如下:
-- 参数:role_name
select * from tb_role ORDER BY ${orderRoleName}
执行结果:
说明:
如果需要动态的传递查询字段和排序字段等情况,我们需要使用$来进行字符串替换。
select ${orderRoleName} from tb_role ORDER BY ${orderRoleName}
查询结果:
总结:
- 能使用
#{}的地方,尽量使用 - 如查询字段,排序字段等,则需要使用
${}
附:
这里顺带提下防止sql注入的几种方式(可能不止这几种):
- (jdbc使用 PreparedStatement代替Statement, PreparedStatement 不仅提高了代码的可读性和可维护性.而且也提高了安全性,有效防止sql注入;
- 在程序代码中使用正则表达式过滤参数。使用正则表达式过滤可能造成注入的符号,如' --等
- 在页面输入参数时也进行字符串检测和提交时进行参数检查,同样可以使用正则表达式,不允许特殊符号出现。
最后
如果觉得不错的话,那就关注一下小编哦!一起交流,一起学习
