Mybatis (九) Mybatis中的#和$

Mybatis中的# 和 $

目录

• Mybatis中的# 和 $
  • 准备数据库
  • $ 和 # 执行原理
  • SQL 注入
  • 少不了$
• 最后

准备数据库

SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS = 0;

-- ----------------------------
-- Table structure for tb_role
-- ----------------------------
DROP TABLE IF EXISTS `tb_role`;
CREATE TABLE `tb_role`  (
  `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '角色id',
  `role_name` varchar(50) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL COMMENT '角色名称',
  `description` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '角色描述',
  `status` int(1) NOT NULL COMMENT '角色状态，0:启用，1:禁用',
  `create_time` datetime(0) NULL DEFAULT NULL COMMENT '创建时间',
  `create_user` varchar(50) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '创建人',
  `modify_time` datetime(0) NULL DEFAULT NULL COMMENT '修改时间',
  `modify_user` varchar(50) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '修改人',
  PRIMARY KEY (`id`) USING BTREE,
  INDEX `index_role_name`(`role_name`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 1 CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Compact;

-- ----------------------------
-- Records of tb_role
-- ----------------------------
INSERT INTO `tb_role` VALUES (1, 'admin', '超级管理员', 0, '2019-03-01 11:33:09', 'system', '2019-03-05 09:17:41', 'admin');
INSERT INTO `tb_role` VALUES (2, 'develop', '开发人员', 0, '2019-03-01 17:19:55', 'admin', '2019-04-04 10:02:37', 'admin');
INSERT INTO `tb_role` VALUES (3, 'testing', '用于测试人员测试', 0, '2019-03-01 22:14:33', 'admin', '2019-04-04 10:03:05', 'admin');
INSERT INTO `tb_role` VALUES (5, 'guest', '运营', 1, '2019-03-16 10:59:38', 'admin', '2019-04-06 10:46:30', 'admin');
INSERT INTO `tb_role` VALUES (6, 'root', 'root', 0, '2019-09-19 09:46:03', 'admin', '2019-09-19 09:55:25', 'admin');

​ 本案例代码基于前面小节的整合案例，所以此处不再赘述整合代码，如有需要，可以参考前面的SSM整合。

$ 和 # 执行原理

下面我们只讨论#{}与${}的差别.

使用#{}接收参数：

select * from tb_role where role_name = #{roleName}

我们看一下上面sql的打印SQL结果：

使用${}接收参数：

select * from tb_role where role_name = '${roleName}'

对应的SQL执行结果：

如上两个SQL的执行结果，可以看出：

• #{value} 会进行SQL预编译，即把参数替换成 ?占位符。
• ${} 只是进行简单的字符串替换。

SQL 注入

百度百科：所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令

正是由于上述差别，${}可能会导致SQL注入，下面我们来看一下：

-- 传入参数：a'  or '1' = '1
select * from tb_role where role_name = #{roleName}

执行结果如下，无法找到对应的数据：

而当我们使用${} :

-- 传入参数：a'  or '1' = '1
select * from tb_role where role_name = '${roleName}'

所以，如果使用${} ，可以发现，sql注入是成功的，这样就把数据库中的所有数据，这里只是演示了查询的注入，最多可能会导致数据泄露，如果注入的是更新、删除操作，后果将不堪设想，所以，在这种情况下我们不能使用$ 来接收参数。

说明：我们使用 mybatis 编写 SQL 语句时，难免会使用模糊查询的方法，mybatis 提供了两种方式 #{} 和 ${} 。

• #{value} 在预处理时，会把参数部分用一个占位符 ? 替代，其中 value 表示接受输入参数的名称。能有效解决 SQL 注入问题
• ${} 表示使用拼接字符串，将接受到参数的内容不加任何修饰符拼接在 SQL 中，使用${}拼接 sql，将引起 SQL 注入问题。

少不了$

​ 有些人看到前面的 ${} 会导致SQL注入问题，可能会认为，那以后的开发就不再使用 ${}了， 全部使用#{}.正所谓存在就有价值，所以，有些情况，${} 还是需要的使用的。

例如：当我们需要通过参数传递来指定排序字段的时候，我们需要使用${}.

-- 参数：role_name
select * from tb_role ORDER BY #{orderRoleName}

执行结果如下：

我们可以看出使用#{} 并没有进行排序，此时我们将其更换如下：

-- 参数：role_name
select * from tb_role ORDER BY ${orderRoleName}

执行结果：

说明：

如果需要动态的传递查询字段和排序字段等情况，我们需要使用$来进行字符串替换。

select ${orderRoleName} from tb_role ORDER BY ${orderRoleName}

查询结果：

总结：

• 能使用#{}的地方，尽量使用
• 如查询字段，排序字段等，则需要使用${}

附：
这里顺带提下防止sql注入的几种方式(可能不止这几种):

1. (jdbc使用 PreparedStatement代替Statement， PreparedStatement 不仅提高了代码的可读性和可维护性.而且也提高了安全性，有效防止sql注入；
2. 在程序代码中使用正则表达式过滤参数。使用正则表达式过滤可能造成注入的符号，如' --等
3. 在页面输入参数时也进行字符串检测和提交时进行参数检查，同样可以使用正则表达式，不允许特殊符号出现。

部分参考自:https://www.cnblogs.com/weixuqin/p/9522802.html

最后

如果觉得不错的话，那就关注一下小编哦！一起交流，一起学习