Mybatis的Mapper映射文件中,有两种方式可以引用形参变量进行取值: #{} 和 ${}
本文将简述两种方式的区别和适用场景
取值引用
#{} 方式
#{}: 解析为SQL时,会将形参变量的值取出,并自动给其添加引号。
例如:当实参username=”Amy”时,传入下Mapper映射文件后
1 | ...... |
SQL将解析为:
1 | SELECT * FROM user WHERE username="Amy" |
${} 方式
${}: 解析为SQL时,将形参变量的值直接取出,直接拼接显示在SQL中
例如:当实参username=”Amy”时,传入下Mapper映射文件后
1 | ...... |
SQL将解析如下:
1 | SELECT * FROM user WHERE username=Amy |
显而该SQL无法正常执行,故需要在mppaer映射文件中的${value}前后手动添加引号,如下所示:
1 | ...... |
SQL将解析为:
1 | SELECT * FROM user WHERE username='Amy' |
SQL 注入
${}方式是将形参和SQL语句直接拼接形成完整的SQL命令后,再进行编译,所以可以通过精心设计的形参变量的值,来改变原SQL语句的使用意图从而产生安全隐患,即为SQL注入攻击。现举例说明:
现有Mapper映射文件如下:1
2
3
4
5......
<select id="findByName" parameterType="String" resultMap="studentResultMap">
SELECT * FROM user WHERE username='${value}'
</select>
....
当 username = “‘ OR 1=1 OR ‘“ 传入后,${}将变量内容直接和SQL语句进行拼接,结果如下:
1 | SELECT * FROM user WHERE username='' OR 1=1 OR ''; |
显而易见,上述语句将把整个数据库内容直接暴露出来了
#{}方式则是先用占位符代替参数将SQL语句先进行预编译,然后再将参数中的内容替换进来。由于SQL语句已经被预编译过,其SQL意图将无法通过非法的参数内容实现更改,其参数中的内容,无法变为SQL命令的一部分。故,#{}可以防止SQL注入而${}却不行
适用场景
#{} 和 ${} 均适用场景
由于SQL注入的原因,${}和#{}在都可以使用的场景下,很明显推荐使用#{}。这里除了上文的WHERE语句例子,再介绍一个LIKE模糊查询的场景(username = “Amy”):
1 | <select id="findAddByName" parameterType="String" resultMap="studentResultMap"> |
该SQL解析为:1
SELECT * FROM user WHERE username LIKE '%Amy%';
上述通过${}虽然可以实现对包含”Amy”对模糊查询,但是不安全,可以改用#{},如下所示:
1 | <select id="findAddByName" parameterType="String" resultMap="studentResultMap"> |
该SQL解析为下文所示,其效果和上文方式一致
1 | SELECT * FROM USER WHERE username LIKE CONCAT('%', 'Amy','%'); |
只能使用${}的场景
由于#{}会给参数内容自动加上引号,会在有些需要表示字段名、表名的场景下,SQL将无法正常执行。现举一例说明:
期望查询结果按sex字段升序排列,参数String orderCol = “sex”,mapper映射文件使用#{}:
1 | <select id="findAddByName3" parameterType="String" resultMap="studentResultMap"> |
则SQL解析及执行结果如下所示,很明显 ORDER 子句的字段名错误的被加上了引号,致使查询结果没有按期排序输出
1 | SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY 'sex' ASC; |
这时,现改为${}测试效果:
1 | <select id="findAddByName3" parameterType="String" resultMap="studentResultMap"> |
则SQL解析及执行结果如下所示:
1 | SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY sex ASC; |
