• mybatis的#{}和${}的区别以及order by注入问题


    前言略,直奔主题..

    #{}相当于jdbc中的preparedstatement

    ${}是输出变量的值

    你可能说不明所以,不要紧我们看2段代码:

    String sql = "select * from admin_domain_location order by ?";
    PreparedStatement st = con.prepareStatement(sql);
    st.setString(1, "domain_id");
    System.out.println(st.toString());

      ResultSet rs = st.executeQuery();
      while(rs.next()){
      System.out.println(rs.getString("domain_id"));
      }

    输出结果:

    com.mysql.jdbc.PreparedStatement@1fa1ba1: select * from admin_domain_location order by 'domain_id'
    3
    4
    5
    2
    6

    这是个jdbc的preparedstatement例子,不要吐槽我这么写是否合法,这里只是为了说明问题.

    以上例子有得出以下信息:

    1)order by后面如果采用预编译的形式动态输入参数,那么实际插入的参数是一个字符串,例子中是:order by 'domain_id'

    2)输出结果并没有排序,从sql语句中的形式我们也可以推测出此sql语句根本也不合法(正常应该是 order by domain_id)

    修改以上代码如下:

    String input = "domain_id";
    String sql = "select * from admin_domain_location order by "+input;
    PreparedStatement st = con.prepareStatement(sql);
    System.out.println(st.toString());
    ResultSet rs = st.executeQuery();
    while(rs.next()){
        System.out.println(rs.getString("domain_id"));
    }
    输出结果:

    com.mysql.jdbc.PreparedStatement@1fa1ba1: select * from admin_domain_location order by domain_id
    2
    3
    4
    5
    6

    此次我们直接把一个变量的值拼接sql语句,从结果可以看出来:

    1)sql语句拼接正常

    2)查询结果排序正常

    你可能要问这和#{}与${}有什么关系..

    上面已经说过#{}相当于jdbc的preparedstatement,所以以上的第一个例子就相当于#{},那么第二个例子就自然而然指的是${}的情况.

    你可能说思维还是有些凌乱,不要紧我们来看第三个例子:

    String sql = "select * from admin_domain_location where domain_id=?";
    PreparedStatement st = con.prepareStatement(sql);
    st.setString(1, "2");
    System.out.println(st.toString());
    ResultSet rs = st.executeQuery();
    while(rs.next()){
        System.out.println(rs.getString("domain_id"));
    }
    =======================================
    String input = "2";
    String sql = "select * from admin_domain_location where domain_id='"+input+"'";
    PreparedStatement st = con.prepareStatement(sql);
    System.out.println(st.toString());
    ResultSet rs = st.executeQuery();
    while(rs.next()){
        System.out.println(rs.getString("domain_id"));
    }
    
    输出结果都为:
    com.mysql.jdbc.PreparedStatement@12bf560: select * from admin_domain_location where domain_id='2'
    2

    这第三个例子说的是#{}和${}通用的问题,也就是说在此种情况下#{}和${}是通用的,只不过需要些小的转换.如例子中需要手动

    拼接单引号 ' ' 到变量值的前后,确保sql语句正常.

    简单说#{}是经过预编译的,是安全的,而${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在sql注入.

    这里先说一下只能${}的情况,从我们前面的例子中也能看出,order by是肯定只能用${}了,用#{}会多个' '导致sql语句失效.此外还有一个like 语句后也需要用${},简单想一下

    就能明白.由于${}仅仅是简单的取值,所以以前sql注入的方法适用此处,如果我们order by语句后用了${},那么不做任何处理的时候是存在sql注入危险的.你说怎么防止,那我只

    能悲惨的告诉你,你得手动处理过滤一下输入的内容,如判断一下输入的参数的长度是否正常(注入语句一般很长),更精确的过滤则可以查询一下输入的参数是否在预期的参数集合中..

  • 相关阅读:
    windows phone中三种解析XML的方法
    windows phone因为墓碑化导致“正在恢复”的分析
    windows phone之获取当前连接WIFI的SSID
    在wp中,使用NavigationService.Navigate导航页面出现错误
    数据结构之单链表,c#实现
    数据结构之顺序表,c#实现
    优化C#程序的48种方法
    一次js代码修改不更新问题的解决
    Java与Unicode
    JAVA中线程同步的方法
  • 原文地址:https://www.cnblogs.com/chyu/p/4389701.html
Copyright © 2020-2023  润新知