【SQL注入】mybatis解决SQL注入的方案

背景

mybatis 好用，但有时候传参不免要用到 ${item} 的写法，比如要查询一个大表的某一些字段（由参数传入），或者按某字段进行排序，聚合等（这些字段由参数传入，并不是参数值）。这种时候，就会喜提一个SQL注入风险。

那这些场景不可避免，又是怎样去解决这些问题呢？

解决方案

要调整的地方有：

• mapper.java （在对应方法上，添加 @SelectProvider 注解）
• mapper.xml
• 创建一个 XXXProvider 类
  
  

1、改造mapper.java

// 原来写法
Map<String,Map<String,Object>> queryStu(StuDto stuDto);
 
 
// 后来写法
@SelectProvider(method = "queryStu", type = StuSelectProvider.class)
Map<String,Map<String,Object>> queryStu(StuDto stuDto);

就是添加了这一行，其它不变
@SelectProvider(method = "queryStu", type = StuSelectProvider.class)

其中 type 是新创建的，上面定义要拼装 sql 的方法， method 方法名，和 mapper 方法名一致就行

2、修改 mapper.xml
mapper.xml 文件的修改，就是把这个方法在 xml 文件里面的实现删掉就行，不然好像会冲突。

3、创建一个 StuSelectProvider.java
这个类名，对应 mapper 类的类名即可。

详情如下：

import org.apache.ibatis.jdbc.SQL;
import org.springframework.util.Assert;
import org.springframework.util.ObjectUtils;
import java.util.List;
 
public class StuSelectProvider {
 
    public String queryStu(Dto dto) {
        SQL sql = new SQL();
        List<String> queryFields = dto.getQueryFields();
        Assert.notEmpty(queryFields, "查询的列不能为空");
 
        sql.SELECT(queryFields.toArray(new String[0]));
        sql.FROM("tb_student");
        sql.WHERE("name = #{name}");
        sql.ORDER_BY("age desc");
        sql.LIMIT(10);
        return sql.toString();
    }
}

意思是这个意思了。
动态列查询，直接在 xml 里面写，会SQL注入。
但使用 @SelectProvider 就可以实现，把 sql 拼装好，再给 mybatis 执行。好像就不会被扫描到。