【mybatis】详解 # 和 $ 的区别,两者分别适用于哪种场景,使用 $ 不当会造成什么影响

# 和 $ 的区别

在MyBatis中,#$ 是用来处理参数的两种不同方式,它们之间有一些重要的区别:

# 符号

# 是用来进行参数占位符的,它会进行 SQL 注入防护。使用 # 时,MyBatis 会将参数值进行预处理,以防止 SQL 注入的问题。

当你在 SQL 语句中使用 #{parameterName} 时,MyBatis 会将 parameterName 所代表的参数值转义,安全地插入 SQL 语句中。

例如:

java 复制代码
SELECT * FROM users WHERE username = #{username}

如果 username 是一个用户输入的值,MyBatis 会处理这个值并确保不会引起 SQL 注入。

$ 符号

$ 用于直接插入参数值,不进行任何处理。这意味着使用 $ 的时候,如果参数包含恶意 SQL 代码,可能会导致 SQL 注入问题。

当你在 SQL 语句中使用 ${parameterName} 时,MyBatis 会直接将 parameterName 的值替换到 SQL 语句中。

例如:

java 复制代码
SELECT * FROM ${tableName}

如果 tableName 是用户输入的值,直接插入可能会导致安全风险。

总结:

  • **使用 #**:安全,参数经过转义,防止 SQL 注入。适用于 SQL 中的条件值或数据列。
  • **使用 $**:不安全,参数不经过处理,直接替换。一般用于列名、表名等需要动态命名的场景,但需谨慎使用。

在实际使用中,建议优先使用 #,只有在确实需要动态 SQL 结构时才考虑使用 $,并确保传入的内容是安全可信的。

#{} 和${} 区别

  1. #{}:预编译处理, ${}:字符直接替换

  2. #{} 可以防⽌SQL注⼊, ${}存在SQL注⼊的⻛险, 查询语句中, 可以使⽤ #{} ,推荐使⽤ #{}

  3. 但是⼀些场景, #{} 不能完成, ⽐如 排序功能, 表名, 字段名作为参数时, 这些情况需要使⽤${}

  4. 模糊查询虽然${}可以完成, 但因为存在SQL注⼊的问题,所以通常使⽤mysql内置函数concat来完成

sql注入

下面是一个示例,展示了如何通过使用 $ 符号导致 SQL 注入的情况

假设我们有一个 MyBatis 的 Mapper XML 文件,其中定义了一个可插入表名的 SQL 查询:

java 复制代码
<mapper namespace="com.example.UserMapper">
    <select id="getUsersByTable" resultType="com.example.User">
        SELECT * FROM ${tableName} WHERE username = #{username}
    </select>
</mapper>

在这个查询中,${tableName} 采用了 $ 符号,表示我们希望动态插入一个表名,而 #{username} 采用了 # 符号,确保了对用户输入的 username 进行了安全的处理。

SQL 注入示例:

假设调用这个方法的 Java 代码如下:

java 复制代码
String userInputTableName = "users; DROP TABLE users; --"; // 用户输入的表名
String username = "exampleUser";

List<User> users = userMapper.getUsersByTable(userInputTableName, username);

在上面的代码中,userInputTableName 是来源于不受信任的用户输入。如果用户输入了恶意的 SQL 片段 users; DROP TABLE users; --,那么最终生成的 SQL 会是:

java 复制代码
SELECT * FROM users; DROP TABLE users; -- WHERE username = 'exampleUser'

这个查询会导致数据库首先执行 SELECT * FROM users;,然后在同一个执行上下文中执行 DROP TABLE users;,从而将 users 表删除。

解决方案:

为了防止这种 SQL 注入,应该避免在 SQL 语句中使用 ${} 直接插入来自用户的输入。应该采用以下做法:

  1. 使用预定义表名:使用固定值或通过查证安全的值来避免用户直接输入可能的表名。
  2. 使用 # 符号:对于需要而不应该通过用户直接控制的内容,避免动态 SQL。

例如,我们可以用一个枚举(或其他安全措施)来限制表名:

java 复制代码
// 使用合法的表名,防止SQL注入
List<User> users = userMapper.getUsersByTable("users", username);

总之,任何时候都应谨慎对待 SQL 的构建,特别是涉及到用户输入时,确保不使用 $ 来动态插入外部输入内容,以防止 SQL 注入漏洞。

# 与 $ 分别适用的场景

在 MyBatis 中,#$ 各自适用于不同的场景。下面结合代码示例来描述它们的适用场景

使用 # 的场景

# 符号用于安全地绑定参数,适合用于绑定查询条件、列值等情境,确保参数得到转义以避免 SQL 注入。

示例

java 复制代码
<mapper namespace="com.example.UserMapper">
    <select id="getUserByUsername" resultType="com.example.User">
        SELECT * FROM users WHERE username = #{username}
    </select>
</mapper>

使用方式

java 复制代码
String username = "exampleUser";
User user = userMapper.getUserByUsername(username);

在这个示例中,#{username} 会被 MyBatis 安全处理,防止 SQL 注入。这里 # 的使用是非常合适的,因为 username 由用户输入,可能会包含潜在的恶意内容。

使用 $ 的场景

$ 符号用于动态构建 SQL 中的结构,比如表名或列名等,适合参数值是已知的、受控的,不需要转义的场景。使用市在容易导致 SQL 注入时,要十分谨慎,仅在确实安全的情况下才使用。

示例

java 复制代码
<mapper namespace="com.example.UserMapper">
    <select id="getUsersByTableName" resultType="com.example.User">
        SELECT * FROM ${tableName} WHERE username = #{username}
    </select>
</mapper>

使用方式

java 复制代码
String tableName = "users"; // 确保这是一个受控值
String username = "exampleUser";
List<User> users = userMapper.getUsersByTableName(tableName, username);

在这个示例中,${tableName} 用于动态选择表名。在实际使用中,tableName 应该是一个固定的值,确保不会来自于不受信任的用户输入,以避免 SQL 注入。

总结

  • 使用 # 的场景

    • 查询条件、列值等动态内容
    • 任何来自用户输入的值
    • 需要安全处理以防止 SQL 注入的场景
  • 使用 $ 的场景

    • 动态构建 SQL 的结构部分,如表名和列名
    • 受控且安全的值,不应直接来自用户输入

在编写 MyBatis SQL 时,务必小心选择使用 #$ 以保护应用程序的安全性。建议优先使用 #,只有在必要且安全的情况下才使用 $

相关推荐
Foyo Designer19 分钟前
【 <二> 丹方改良:Spring 时代的 JavaWeb】之 Spring Boot 中的国际化:支持多语言的 RESTful API
java·spring boot·redis·后端·spring·缓存·restful
viperrrrrrrrrr744 分钟前
大数据学习(95)-谓词下推
大数据·sql·学习
深圳厨神2 小时前
mysql对表,数据,索引的操作sql
数据库·sql·mysql
用键盘当武器的秋刀鱼2 小时前
springBoot统一响应类型3.5版本
java·spring boot·spring
佩奇的技术笔记2 小时前
中级:MyBatis面试题深度剖析
数据库·mybatis
luluoluoa3 小时前
SQL、mySQL与SQLite简单理解
sql·mysql·sqlite
栗筝i3 小时前
Spring 核心技术解析【纯干货版】- XV:Spring 网络模块 Spring-Web 模块精讲
前端·网络·spring
Arbori_262154 小时前
oracle常用sql
数据库·sql·oracle
SuperherRo4 小时前
Web开发-JavaEE应用&ORM框架&SQL预编译&JDBC&MyBatis&Hibernate&Maven
前端·sql·java-ee·maven·mybatis·jdbc·hibernate
栗筝i5 小时前
Spring 核心技术解析【纯干货版】- XVI:Spring 网络模块 Spring-WebMvc 模块精讲
java·网络·spring