mybatis 中#与$的区别

MyBatis/Ibatis中#和$的区别

1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #{user_id},如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".

2. $将传入的数据直接显示生成在sql中。如:order by ${user_id},如果传入的值是111,那么解析成sql时的值为order by 111,  如果传入的值是id,则解析成的sql为order by id. 

3. #方式因为默认增加了双引号,能够很大程度防止sql注入。

4.$方式属于字符的动态拼接,无法防止SSQL注入。

5.$方式一般用于传入数据库对象,例如动态传入表名,经常在分表中使用,根据分表规则动态的确定数据落入那个分表中。(动态分表的话要在mybatis中设置statementType=“STATEMENT” 非预编辑)。 

6.一般能用#的就别用$. 

 

 

 

附SQL注入DEMO:

mybatis的sql中使用$会出现sql注入示例:

 

模拟简单登录场景:

 

页面代码:

 

复制代码
function login(){
    //sql注入
    var user = {
        username : "'李雪雷3' or 1=1",
        password : "'ab0715'",
    }
    $.ajax({
        url: '/api/test/login.json',
        type: "POST",
        data: JSON.stringify(user),//将对象序列化成JSON字符串
        dataType: "json",
        contentType : 'application/json;charset=utf-8', //设置请求头信息
        async: false,
        success: function (result) {
            debugger;
            $("#dis").html(result.data);
        },
        error: function (xhr, ajaxOptions, thrownError) {
            debugger;
            alert("出错了");
        }
    })
}
复制代码

 

 

 

<input type="button" onclick="login()" value="登录" name="sunmitBtn">

 

controller:

 

复制代码
@RequestMapping("/login")
    @ResponseBody
    public BaseResponse login(HttpServletRequest request, HttpServletResponse response, @RequestBody UserParam userParam){
        try{
            User user = userService.selectByCon(userParam);
            if(user != null){
                return BaseResponse.successCustom().setData("登录成功").build();
            }
            return BaseResponse.successCustom().setData("登录失败").build();
            //return BaseResponse.successCustom().setData(returnVal).build();
        }catch (Exception e){
            e.printStackTrace();
            return BaseResponse.failedCustom("系统异常").build();
        }
    }
复制代码

 

service接口:

 

User selectByCon(UserParam userParam);

 

service实现类:

 

@Override
    public User selectByCon(UserParam userParam) {
        User user = userMapper.selectByCon(userParam);
        return user;
    }

 

mapper接口:

 

User selectByCon(UserParam userParam);

 

mapper.xml文件:
使用$的sql:

 

复制代码
<select id="selectByCon" resultMap="BaseResultMap">
    select
    <include refid="Base_Column_List" />
    from user2
    where 1=1
    <if test="username != null" >
      and username = ${username}
    </if>
    <if test="password != null" >
      and password = ${password}
    </if>
  </select>
复制代码

 

数据库用户表user2数据:

 

 

运行程序:
编译后的sql:

 

复制代码
SELECT
    username,
    PASSWORD
FROM
    user2
WHERE
    1 = 1
AND username = '李雪雷3'
OR 1 = 1
AND PASSWORD = 'ab0715'
复制代码

 

执行结果:

 

 

登录成功:

 

 

利用了sql注入漏洞骗过了口令从而登录成功。在账号正确的前提下,密码不管输入什么都能成功登录。

 

说明:

 

如果使用$写的sql,我们可以利用sql注入漏洞来进行攻击。如果进行表的删除及数据修改sql注入,而数据库没有备份数据,那将是毁灭性的。

 

=============================================

 

使用#的sql:

 

复制代码
<select id="selectByCon" resultMap="BaseResultMap">
    select
    <include refid="Base_Column_List" />
    from user2
    where 1=1
    <if test="username != null" >
      and username = #{username}
    </if>
    <if test="password != null" >
      and password = #{password}
    </if>
  </select>
复制代码

 

运行程序:
编译后的sql:

 

复制代码
SELECT
    username,
    PASSWORD
FROM
    user2
WHERE
    1 = 1
AND username = ?
AND PASSWORD = ?
复制代码

 

加入参数,翻译过来就是:

 

复制代码
SELECT
    username,
    PASSWORD
FROM
    user2
WHERE
    1 = 1
AND username = "'李雷雷3' or 1=1"
AND PASSWORD = "'ab0715'"
复制代码

 

执行结果:

 

 

说明:

 

使用#的sql进行了预编译,用?接受参数。如果是字符串的参数,则使用" "双引号括起来,有效防止了sql注入。

 

=========================================

 

补充:

 

预编译的好处:

 

在执行SQL命令时,有二种选择:可以使用PreparedStatement对象,也可以使用Statement对象。

而熟悉JDBC编程的大侠们都会选择使用PreparedStatement对象,主要因为使用预编译对象PreparedStatement时,有以下几个优点:

1、效率高

 PreparedStatement可以尽可能的提高访问数据库的性能,我们都知道数据库在处理SQL语句时都有一个预编译的过程,而预编译对象就是把一些格式固定的SQL编译后,存放在内存池中即数据库缓冲池,当我们再次执行相同的SQL语句时就不需要预编译的过程了,只需DBMS运行SQL语句。所以当你需要执行Statement对象多次的时候,PreparedStatement对象将会大大降低运行时间,特别是的大型的数据库中,它可以有效的也加快了访问数据库的速度。

 

 

2、大大提高代码的可读性和可维护性

例如我们在向数据库插入数据:

一种是使用Statement对象

   java.sql.Statement   stmt=conn.createStatement();

 

  stmt.executeUpdate("insert into student (name,id,number,count) values ('"+var1+"','"+var2+"',"+var3+",'"+var4+"')");   另一种是使用PreparedStatement对象

 

String  sql ="insert into student values(null,?,?,?)";

 

java.sql.PreparedStatement pstmt=conn.preparedStatement(sql);

 

pstmt.setString(1,var1); pstmt.setString(2,var2); pstmt.setString(3,var3); pstmt.setString(4,var4); pstmt.executeUpdate();

 

使用占位符?代替

 

将参数与SQL语句分离出来,这样就可以方便对程序的更改和延续,同样,也可以减少不必要的错误。

 

 

 

3、开源防止SQL注入(最主要的)

什么时候使用预编译语句?

一般是在需要反复使用一个SQL语句时才使用预编译语句,预编译语句常常放在一个fo r或者while循环里面使用,通过反复设置参数从而多次使用该SQL语句。为了防止SQL注入漏洞,在某些数据操作中也使用预编译语句。

 

 

 

参考链接:https://blog.csdn.net/mawming/article/details/45043015

参考链接:https://www.cnblogs.com/super-chao/p/8421505.html

参考连接:https://blog.csdn.net/weixin_43865196/article/details/90641990

 

posted on 2016-03-24 14:35  @ 小浩  阅读(11772)  评论(0编辑  收藏  举报