引言
本篇博客是接着上一篇博客所写的,上一篇博客主要介绍了 MyBatis 的增删改查,本篇博客主要介绍 MyBatis 在增删改查上的一些细节。
一、#{} 和 ${} 的区别
我们准备好一个 userinfo 表,并测试两种符号。
1. 通过 id 查询用户信息
(1) #{id}
" UserMapper " 接口:
@Mapper public interface UserMapper { // 根据用户 id 来查询某个用户的所有信息 public UserInfo getUserById(@Param("id") Integer id); }
xml 文件 ( 使用 #{} 占位符 )
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd"> <mapper namespace="com.example.demo.mapper.UserMapper"> <!-- 根据用户 id 来查询某个用户的所有信息 --> <select id="getUserById" resultType="com.example.demo.model.UserInfo"> select * from userinfo where id = #{id} </select> </mapper>
测试类:
@SpringBootTest class UserMapperTest { @Resource private UserMapper userMapper; // 根据用户 id 来查询某个用户的所有信息 @Test void getUserById() { UserInfo userInfo = userMapper.getUserById(2); System.out.println("测试结果:" + userInfo); } }
启动测试方法,查看 MyBatis 日志打印:
(2) ${id}
改变 " xml 文件 " 代码,UserMapper 接口和测试方法不进行改变。
<select id="getUserById" resultType="com.example.demo.model.UserInfo"> select * from userinfo where id = ${id} </select>
启动测试方法,查看 MyBatis 日志打印:
初步结论
从两个 MyBatis 日志打印的结果来看,我们可以看出
#{} 符,它是先用问号进行预处理,之后再使用参数替换的
${} 符,它是直接对查询参数替换的
2. 通过 username 查询用户信息
(1) #{username}
" UserMapper " 接口:
@Mapper public interface UserMapper { // 根据用户 username 来查询某个用户的所有信息 public UserInfo getUserByUsername(@Param("username") String username); }
xml 文件 ( 使用 #{} 占位符 )
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd"> <mapper namespace="com.example.demo.mapper.UserMapper"> <!-- 根据用户 username 来查询某个用户的所有信息 --> <select id="getUserByUsername" resultType="com.example.demo.model.UserInfo"> select * from userinfo where username = #{username} </select> </mapper>
测试类:
@SpringBootTest class UserMapperTest { @Resource private UserMapper userMapper; // 6. 根据用户 username 来查询某个用户的所有信息 @Test void getUserByUsername() { UserInfo userInfo = userMapper.getUserByUsername("李明"); System.out.println("测试结果:" + userInfo); } }
启动测试方法,查看 MyBatis 日志打印:
(2) ${username}
改变 " xml 文件 " 代码,UserMapper 接口和测试方法不进行改变。
<select id="getUserByUsername" resultType="com.example.demo.model.UserInfo"> select * from userinfo where username = ${username} </select>
启动测试方法,查看 MyBatis 日志打印:
结论
从两个 MyBatis 日志打印的结果来看,我们可以看出
#{} 符,在预处理后,它是可以自动为字符串类型加上单引号的。
${} 符,它是直接进行字符串替换的。
两个符号的转换过程,对比如下:
数据库验证:
经过数据库验证后,我们发现 ${} 符直接替换字符串是不合理的。说到底,从数据库角度看,就是语法问题而已。
3. 通过创建时间对用户进行排序
数据库提供字段值的临时排序有两种,一是升序,二是降序。
(1) #{order}
" UserMapper " 接口:
@Mapper public interface UserMapper { // 通过创建时间对用户进行排序 public List<UserInfo> sortByTime(@Param("order") String order); }
xml 文件 ( 使用 #{} 占位符 )
备注: 虽然这里返回值是 List,但是 List 中的存的值依然是 UserInfo,所以我们依然可以将 resultType 设置为 UserInfo
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd"> <mapper namespace="com.example.demo.mapper.UserMapper"> <!-- 通过创建时间对用户进行排序 --> <select id="sortByTime" resultType="com.example.demo.model.UserInfo"> select * from userinfo order by createtime #{order} </select> </mapper>
测试类:
@SpringBootTest class UserMapperTest { @Resource private UserMapper userMapper; // 通过创建时间对用户进行排序 @Test void sortByTime() { List<UserInfo> list = userMapper.sortByTime("asc"); System.out.println("测试结果: " + list); } }
启动测试方法,查看 MyBatis 日志打印:
(2) ${order}
改变 " xml 文件 " 代码,UserMapper 接口和测试方法不进行改变。
<select id="sortByTime" resultType="com.example.demo.model.UserInfo"> select * from userinfo order by createtime ${order} </select>
启动测试方法,查看 MyBatis 日志打印:
结论
从两个 MyBatis 日志打印的结果来看,我们可以看出
#{} 符,在预处理后,它是可以自动为字符串类型加上单引号的,但它不是智能的,它无法检测我们预期查询的参数是否是数据库的一些关键字。 所以在有些场景下,它无脑加上单引号,并不会产生正确的结果。
${} 符,它是直接进行字符串替换的。同样地,它也不是智能的,它也是无脑进行替换的。
两个符号的转换过程,对比如下:
数据库验证:
4. ${} 产生的 SQL 注入问题
引入
之前我们说,#{} 是可以预处理的,${} 是直接替换参数的。那么,如果我们手动将参数加上单引号,那么类似于这样的 ’ ${} ’ 就可以和 #{} 等价了 ( 暂且视为等价 )。
下面我们就通过模拟登录的方式来验证此情况,我们预期通过账号和密码查询 " 李明 " 用户的全部信息。
(1) 测试
" UserMapper " 接口:
@Mapper public interface UserMapper { // 登录解析 SQL 注入的问题 public UserInfo login(@Param("username") String username, @Param("password") String password); }
xml 文件 ( 使用 #{} 占位符 )
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd"> <mapper namespace="com.example.demo.mapper.UserMapper"> <!-- 登录解析 SQL 注入的问题 --> <select id="login" resultType="com.example.demo.model.UserInfo"> select * from userinfo where username = '${username}' and password = '${password}' </select> </mapper>
测试类:
@SpringBootTest class UserMapperTest { @Resource private UserMapper userMapper; // 登录解析 SQL 注入的问题 @Test void login() { String username = "李明"; String password = "321"; UserInfo userInfo = userMapper.login(username, password); System.out.println("测试结果:" + userInfo); } }
启动测试方法,查看 MyBatis 日志打印:
初步结论: 从上面的结果看,好像确实没什么问题,但实际它隐含了一个安全问题,请继续往下看。
(2) 改变测试内容
上面的接口和 " xml 文件 " 不作改变,我们修改测试类的 password 参数:
@Test void login() { String username = "李明"; String password = " ' = ' "; UserInfo userInfo = userMapper.login(username, password); System.out.println("测试结果:" + userInfo); }
启动测试方法,查看 MyBatis 日志打印:
观察上面的打印日志时,其实我们就发现问题了,就算我们输入的是一个错误的密码,也能够获取一个用户的所有参数。 如果此漏洞出现在了线上环境下,这其实是很危险的!当下的互联网时代,钱就是数据,数据就是钱。那么如果数据内容被盗,损失是很大的。
(3) 使用 #{} 测试当前 SQL 注入问题
将 xml 文件中的 SQL 语句,改为 #{} 符号,继续测试错误的密码:
<select id="login" resultType="com.example.demo.model.UserInfo"> select * from userinfo where username = #{username} and password = #{password} </select>
启动测试方法,查看 MyBatis 日志打印:
可以发现,使用 #{} 查询的结果为空,这就说明 #{} 没有安全漏洞。
因为它的转换过程如下所示:
结论
${} 号的应用,会带来 SQL 注入问题,也就是说,SQL 注入是一个安全问题。
上面的情况只是 SQL 注入的其中一种场景而已,如果前端真的传来一个参数,能够破解一个用户的身份信息,这是很危险的。实际上,黑客能够利用 ${} 的简单漏洞,来暴力破解数据信息。
而造成这种情况的主要原因就是,数据库中的字符串是由单引号将数据包裹起来的,Java 的字符串是用双引号包裹起来的,所以如何将参数放到一个 SQL 语句中,这就是一个难点。然而,MyBatis 提供的 ${} 直接替换参数,本质上,替换参数是用户自己写的参数。这就带来了一个问题:我们永远猜不到用户输入的是什么。
所以,一般情况下,对于一个正常的参数,我们应该使用 #{},对于一个关键字,应该使用 ${},然而,使用 ${} 之前,就一定要对前端传入的参数值进行安全校验。
5. 最终的结论
① #{} 是预处理机制,而 ${} 是直接替换。
② #{} 适用于一个正常参数的匹配,但 ${} 只适用数值类型和数据库关键字。
③ #{} 没有安全问题,但 ${} 存在 SQL 注入的安全漏洞。
④ 不管是 #{} 还是 ${},最重要的还是 SQL 语句。因为说白了,两个符号都是基于 SQL 的语法而设定的,正是因为后端程序和数据库之间需要沟通,所以才会出现这样的桥梁。
