【SpringBoot】持久层 sql 注入问题

目录

概述

#{} 与 ${}

---

概述

        前端恶意传参，改变后端 sql 语句的语法结构，从而使后端给前端返回一些私密的数据。这种安全问题往往是因为没有严格过滤参数，或者后端代码不严谨导致的。

#{} 与 ${}

        在 MyBatis 框架中，#{} 与 ${} 都表示占位符，方便灵活传参。如下代码

@Select("select * from user_info where username= #{name} ")
UserInfo queryByName(String name);

        #{} 使用的是 预编译 sql ， ${} 使用的是 及时 sql 。

        及时 sql ：sql 语句要先经过 词法分析，语法分析，语义分析，再把优化后的 sql 喂给数据库执行。

        也就是说，${} 占位符传过来的参数是要参与 sql 语法构建的，如果参数中带有一些 sql 的关键字，会在词法分析时被识别成 sql 的关键字。

        预编译 sql : 会把编译好的 sql 缓存起来，当要使用该 sql 时，不会再进行 词法分析，语法分析，语义分析。

        如此一来，不仅提高了 sql 的执行效率，#{} 传过来的参数不会参与 sql 的语法构建。

        #{} 占位符会会根据类型，自动拼接 ' ' ，${} 会对参数直接进行替换，如果参数为字符串，需要加   ' ' 号。如下代码

@Select("select * from user_info whereusername= '${name}' ")
UserInfo queryByName(String name);

        因为 #{} 占位符会拼接 '' 号，在一些 sql 中，并不需要加单引号，就必须使用 ${} 占位符。如下示例

@Select("select * from user_info order by id ${sort}")
public List<UserInfo> selectUserSortById(String sort);