MyBatis 进阶(上)

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: MyBatis 进阶(上)

引言



本篇博客是接着上一篇博客所写的,上一篇博客主要介绍了 MyBatis 的增删改查,本篇博客主要介绍 MyBatis 在增删改查上的一些细节。


一、#{} 和 ${} 的区别



我们准备好一个 userinfo 表,并测试两种符号。


45643b83f33743569ed70f571a9dd1de.png


1. 通过 id 查询用户信息


(1) #{id}


" UserMapper " 接口:


@Mapper
public interface UserMapper {
    // 根据用户 id 来查询某个用户的所有信息
    public UserInfo getUserById(@Param("id") Integer id);
}


xml 文件 ( 使用 #{} 占位符 )


<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.example.demo.mapper.UserMapper">
    <!-- 根据用户 id 来查询某个用户的所有信息 -->
    <select id="getUserById" resultType="com.example.demo.model.UserInfo">
        select * from userinfo where id = #{id}
    </select>
</mapper>


测试类:


@SpringBootTest
class UserMapperTest {
    @Resource
    private UserMapper userMapper;
    // 根据用户 id 来查询某个用户的所有信息
    @Test
    void getUserById() {
        UserInfo userInfo = userMapper.getUserById(2);
        System.out.println("测试结果:" + userInfo);
    }
}


启动测试方法,查看 MyBatis 日志打印:


62a3d10c6e44481c84e2b92e5c5b457c.png


(2) ${id}


改变 " xml 文件 " 代码,UserMapper 接口和测试方法不进行改变。


<select id="getUserById" resultType="com.example.demo.model.UserInfo">
    select * from userinfo where id = ${id}
</select>


启动测试方法,查看 MyBatis 日志打印:


d4708564fd314e9ebb4877081241a6cd.png


初步结论


从两个 MyBatis 日志打印的结果来看,我们可以看出

#{} 符,它是先用问号进行预处理,之后再使用参数替换的

${} 符,它是直接对查询参数替换的


2. 通过 username 查询用户信息


(1) #{username}


" UserMapper " 接口:


@Mapper
public interface UserMapper {
    // 根据用户 username 来查询某个用户的所有信息
    public UserInfo getUserByUsername(@Param("username") String username);
}


xml 文件 ( 使用 #{} 占位符 )


<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.example.demo.mapper.UserMapper">
    <!-- 根据用户 username 来查询某个用户的所有信息 -->
    <select id="getUserByUsername" resultType="com.example.demo.model.UserInfo">
        select * from userinfo where username = #{username}
    </select>
</mapper>


测试类:


@SpringBootTest
class UserMapperTest {
    @Resource
    private UserMapper userMapper;
    // 6. 根据用户 username 来查询某个用户的所有信息
    @Test
    void getUserByUsername() {
        UserInfo userInfo = userMapper.getUserByUsername("李明");
        System.out.println("测试结果:" + userInfo);
    }
}


启动测试方法,查看 MyBatis 日志打印:


9b7e1f7adead42dab38d3c19431c7b9e.png


(2) ${username}


改变 " xml 文件 " 代码,UserMapper 接口和测试方法不进行改变。


<select id="getUserByUsername" resultType="com.example.demo.model.UserInfo">
    select * from userinfo where username = ${username}
</select>


启动测试方法,查看 MyBatis 日志打印:


0ddff8939c9149fdbfbd8b5a70252912.png


结论


从两个 MyBatis 日志打印的结果来看,我们可以看出

#{} 符,在预处理后,它是可以自动为字符串类型加上单引号的。

${} 符,它是直接进行字符串替换的。


两个符号的转换过程,对比如下:


5a2296cfa31546cc98cf181e60d0cb8a.png


数据库验证:


5a40b2a4786c425bbdbc10cd56eac2d1.png


经过数据库验证后,我们发现 ${} 符直接替换字符串是不合理的。说到底,从数据库角度看,就是语法问题而已。


3. 通过创建时间对用户进行排序


数据库提供字段值的临时排序有两种,一是升序,二是降序。


dd044da4760c44ee88c3a31468600e66.png


(1) #{order}


" UserMapper " 接口:


@Mapper
public interface UserMapper {
    // 通过创建时间对用户进行排序
    public List<UserInfo> sortByTime(@Param("order") String order);
}


xml 文件 ( 使用 #{} 占位符 )


备注: 虽然这里返回值是 List,但是 List 中的存的值依然是 UserInfo,所以我们依然可以将 resultType 设置为 UserInfo


<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.example.demo.mapper.UserMapper">
    <!--  通过创建时间对用户进行排序 -->
    <select id="sortByTime" resultType="com.example.demo.model.UserInfo">
        select * from userinfo order by createtime #{order}
    </select>
</mapper>


测试类:


@SpringBootTest
class UserMapperTest {
    @Resource
    private UserMapper userMapper;
    // 通过创建时间对用户进行排序
    @Test
    void sortByTime() {
        List<UserInfo> list = userMapper.sortByTime("asc");
        System.out.println("测试结果: " + list);
    }
}


启动测试方法,查看 MyBatis 日志打印:


d4a66e8fd7ce4bd39238512304e1556b.png


(2) ${order}


改变 " xml 文件 " 代码,UserMapper 接口和测试方法不进行改变。


<select id="sortByTime" resultType="com.example.demo.model.UserInfo">
    select * from userinfo order by createtime ${order}
</select>


启动测试方法,查看 MyBatis 日志打印:


9524a2b0802248fb95c17808a2aa24d9.png


结论


从两个 MyBatis 日志打印的结果来看,我们可以看出


#{} 符,在预处理后,它是可以自动为字符串类型加上单引号的,但它不是智能的,它无法检测我们预期查询的参数是否是数据库的一些关键字。 所以在有些场景下,它无脑加上单引号,并不会产生正确的结果。


${} 符,它是直接进行字符串替换的。同样地,它也不是智能的,它也是无脑进行替换的。

两个符号的转换过程,对比如下:


1cf72cefa6f647d89bba80d6940c018b.png


数据库验证:


caa7c79cd79d4ade927371758aeea7ba.png


4. ${} 产生的 SQL 注入问题


引入


之前我们说,#{} 是可以预处理的,${} 是直接替换参数的。那么,如果我们手动将参数加上单引号,那么类似于这样的 ’ ${} ’ 就可以和 #{} 等价了 ( 暂且视为等价 )。


下面我们就通过模拟登录的方式来验证此情况,我们预期通过账号和密码查询 " 李明 " 用户的全部信息。


25e217037d404f008270a47b2336360e.png

7ea08931ecf4490986b69679c3118aa5.png


(1) 测试


" UserMapper " 接口:


@Mapper
public interface UserMapper {
    // 登录解析 SQL 注入的问题
    public UserInfo login(@Param("username") String username, @Param("password") String password);
}


xml 文件 ( 使用 #{} 占位符 )


<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.example.demo.mapper.UserMapper">
    <!--  登录解析 SQL 注入的问题 -->
    <select id="login" resultType="com.example.demo.model.UserInfo">
        select * from userinfo where username = '${username}' and password = '${password}'
    </select>
</mapper>


测试类:


@SpringBootTest
class UserMapperTest {
    @Resource
    private UserMapper userMapper;
    // 登录解析 SQL 注入的问题
    @Test
    void login() {
        String username = "李明";
        String password = "321";
        UserInfo userInfo = userMapper.login(username, password);
        System.out.println("测试结果:" + userInfo);
    }
}


启动测试方法,查看 MyBatis 日志打印:


7ec070556f324adf92351437bb9327ed.png


初步结论: 从上面的结果看,好像确实没什么问题,但实际它隐含了一个安全问题,请继续往下看。


(2) 改变测试内容


上面的接口和 " xml 文件 " 不作改变,我们修改测试类的 password 参数:


@Test
void login() {
    String username = "李明";
    String password = " ' = ' ";
    UserInfo userInfo = userMapper.login(username, password);
    System.out.println("测试结果:" + userInfo);
}


启动测试方法,查看 MyBatis 日志打印:


df65ff538f78461b8aa66e6f9a95d68c.png


观察上面的打印日志时,其实我们就发现问题了,就算我们输入的是一个错误的密码,也能够获取一个用户的所有参数。 如果此漏洞出现在了线上环境下,这其实是很危险的!当下的互联网时代,钱就是数据,数据就是钱。那么如果数据内容被盗,损失是很大的。


(3) 使用 #{} 测试当前 SQL 注入问题


将 xml 文件中的 SQL 语句,改为 #{} 符号,继续测试错误的密码:


<select id="login" resultType="com.example.demo.model.UserInfo">
    select * from userinfo where username = #{username} and password = #{password}
</select>


启动测试方法,查看 MyBatis 日志打印:


448827522e7b440fb6ca1ee71e897dd4.png

可以发现,使用 #{} 查询的结果为空,这就说明 #{} 没有安全漏洞。

因为它的转换过程如下所示:


1f32a703f9bb4db0992ebdaf3b9f9ab1.png


结论


${} 号的应用,会带来 SQL 注入问题,也就是说,SQL 注入是一个安全问题。

上面的情况只是 SQL 注入的其中一种场景而已,如果前端真的传来一个参数,能够破解一个用户的身份信息,这是很危险的。实际上,黑客能够利用 ${} 的简单漏洞,来暴力破解数据信息。


而造成这种情况的主要原因就是,数据库中的字符串是由单引号将数据包裹起来的,Java 的字符串是用双引号包裹起来的,所以如何将参数放到一个 SQL 语句中,这就是一个难点。然而,MyBatis 提供的 ${} 直接替换参数,本质上,替换参数是用户自己写的参数。这就带来了一个问题:我们永远猜不到用户输入的是什么。


所以,一般情况下,对于一个正常的参数,我们应该使用 #{},对于一个关键字,应该使用 ${},然而,使用 ${} 之前,就一定要对前端传入的参数值进行安全校验。


5. 最终的结论


① #{} 是预处理机制,而 ${} 是直接替换。


② #{} 适用于一个正常参数的匹配,但 ${} 只适用数值类型和数据库关键字。


③ #{} 没有安全问题,但 ${} 存在 SQL 注入的安全漏洞。


④ 不管是 #{} 还是 ${},最重要的还是 SQL 语句。因为说白了,两个符号都是基于 SQL 的语法而设定的,正是因为后端程序和数据库之间需要沟通,所以才会出现这样的桥梁。

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
目录
相关文章
|
SQL Java 数据库连接
MyBatis进阶:掌握MyBatis动态SQL与模糊查询、结果映射
MyBatis进阶:掌握MyBatis动态SQL与模糊查询、结果映射
389 0
|
6月前
|
SQL XML Java
Mybatis进阶——动态SQL(1)
Mybatis进阶——动态SQL(1)
48 3
|
SQL Java 数据库连接
MyBatis进阶:掌握MyBatis动态SQL与模糊查询、结果映射,让你在面试中脱颖而出!!
MyBatis进阶:掌握MyBatis动态SQL与模糊查询、结果映射,让你在面试中脱颖而出!!
214 0
|
7月前
|
XML Java 数据库连接
【JavaEE进阶】 MyBatis使用XML实现增删改查
【JavaEE进阶】 MyBatis使用XML实现增删改查
|
7月前
|
Java 关系型数据库 数据库连接
【JavaEE进阶】 MyBatis使用注解实现增删改查
【JavaEE进阶】 MyBatis使用注解实现增删改查
|
7月前
|
Java 关系型数据库 数据库连接
【JavaEE进阶】MyBatis⼊⻔
【JavaEE进阶】MyBatis⼊⻔
|
7月前
|
SQL XML Java
【JavaEE进阶】 MyBatis之动态SQL
【JavaEE进阶】 MyBatis之动态SQL
|
SQL Java 数据库连接
“MyBatis进阶:分页与特殊字符处理“
“MyBatis进阶:分页与特殊字符处理“
73 0
|
SQL XML Java
MyBatis进阶:告别SQL注入!MyBatis分页与特殊字符的正确使用方式
MyBatis进阶:告别SQL注入!MyBatis分页与特殊字符的正确使用方式
375 0
|
SQL Java 程序员
Mybatis-Plus 进阶开发 -- Mybatis-Plus 入门教程(二)(3)
Mybatis-Plus 进阶开发 -- Mybatis-Plus 入门教程(二)
148 0
下一篇
DataWorks