一、Mybatis的SQL注入
Mybatis的SQL语句可以基于注解的方式写在类方法上面,
更多的是以xml的方式写到xml文件。Mybatis中SQL语句需要我们自己手动编写xml文件时,
MyBatis支持两种参数符号,一种是#,另一种是$。
*#{}使用预编译,${}使用拼接SQL。*比如:
<select id="findById" resultMap="com.lx.entity.UserEntity">
SELECT * FROM user WHERE id = #{id}
</select>
Mybatis框架下易产生SQL注入漏洞的情况主要分为以下三种:
- 模糊查询
SELECT * FROM user WHERE userName like ‘%#{name}%’
在这种情况下使用#程序会报错,新手程序员就把#号改成了$,这样如果java代码层面没有对用户输入的内容做处理势必会产生SQL注入漏洞。 正确写法:
SELECT * FROM user WHERE userName LIKE concat('%',#{name},'%')
2.in 之后的多个参数
SELECT * FROM user WHERE id in #{ids}
正确用法为使用foreach,而不是将#替换为$
SELECT * FROM user WHERE id in
<foreach collection="ids" item="item" open="("separatosr="," close=")">
#{ids}
</foreach>
3.order by 之后使用{},不是#{}``` <when test="sidx != null and sidx.trim() != ''"> order by {sidx} ${order}
