JavaMyBatis+SpringMVC+SpringBoot

MyBatis中 #{} 和 ${} 区别

2020-03-10  本文已影响0人  ProjectDaedalus

Mybatis的Mapper映射文件中,有两种方式可以引用形参变量进行取值: #{} 和 ${}
本文将简述两种方式的区别和适用场景

abstract.png

取值引用

#{} 方式

#{}: 解析为SQL时,会将形参变量的值取出,并自动给其添加引号。
例如:当实参username="Amy"时,传入下Mapper映射文件后

    ......
    <select id="findByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username=#{value}
    </select>
    ....

SQL将解析为:

    SELECT * FROM user WHERE username="Amy"

${} 方式

${}: 解析为SQL时,将形参变量的值直接取出,直接拼接显示在SQL中

例如:当实参username="Amy"时,传入下Mapper映射文件后

    ......
    <select id="findByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username=${value}
    </select>
    ....

SQL将解析如下:

    SELECT * FROM user WHERE username=Amy

显而该SQL无法正常执行,故需要在mppaer映射文件中的${value}前后手动添加引号,如下所示:

    ......
    <select id="findByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username='${value}'
    </select>
    ....

SQL将解析为:

    SELECT * FROM user WHERE username='Amy'

SQL 注入

${}方式是将形参和SQL语句直接拼接形成完整的SQL命令后,再进行编译,所以可以通过精心设计的形参变量的值,来改变原SQL语句的使用意图从而产生安全隐患,即为SQL注入攻击。现举例说明:

现有Mapper映射文件如下:

    ......
    <select id="findByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username='${value}'
    </select>
    ....

当 username = "' OR 1=1 OR '" 传入后,${}将变量内容直接和SQL语句进行拼接,结果如下:

    SELECT * FROM user WHERE username='' OR 1=1 OR '';

显而易见,上述语句将把整个数据库内容直接暴露出来了

#{}方式则是先用占位符代替参数将SQL语句先进行预编译,然后再将参数中的内容替换进来。由于SQL语句已经被预编译过,其SQL意图将无法通过非法的参数内容实现更改,其参数中的内容,无法变为SQL命令的一部分。故,#{}可以防止SQL注入而${}却不行

适用场景

#{} 和 ${} 均适用场景

由于SQL注入的原因,${}和#{}在都可以使用的场景下,很明显推荐使用#{}。这里除了上文的WHERE语句例子,再介绍一个LIKE模糊查询的场景(username = "Amy"):

    <select id="findAddByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username LIKE '%${value}%'
    </select>

该SQL解析为:

    SELECT * FROM user WHERE username LIKE '%Amy%';

上述通过${}虽然可以实现对包含"Amy"对模糊查询,但是不安全,可以改用#{},如下所示:

    <select id="findAddByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM USER WHERE username LIKE CONCAT('%', #{username}, '%')
    </select>

该SQL解析为下文所示,其效果和上文方式一致

    SELECT * FROM USER WHERE username LIKE CONCAT('%', 'Amy','%');

只能使用${}的场景

由于#{}会给参数内容自动加上引号,会在有些需要表示字段名、表名的场景下,SQL将无法正常执行。现举一例说明:

期望查询结果按sex字段升序排列,参数String orderCol = "sex",mapper映射文件使用#{}:

    <select id="findAddByName3" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY #{value} ASC
    </select>

则SQL解析及执行结果如下所示,很明显 ORDER 子句的字段名错误的被加上了引号,致使查询结果没有按期排序输出

    SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY 'sex' ASC;
result1.jpeg

这时,现改为${}测试效果:

    <select id="findAddByName3" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY ${value} ASC
    </select>

则SQL解析及执行结果如下所示:

    SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY sex ASC;
result2.jpg
上一篇下一篇

猜你喜欢

热点阅读