MyBatis遇到的小问题

Posted 2021-04-16 自我学习的程序员

1.SQL注入

               在Mybatis Mapper xml中，#变量名称创建参数化查询SQL语句，不会导致SQL注入，而$变量名称直接使用SQL指令，会导致SQL注入攻击。例如：

    <select id="findByUserName"  resultMap="base" parameterType="String">
         select * from db_user where username=${username} 
    </select>

如果攻击者输入wang or 1=1，即可进行SQL注入。如果使用#{username}，就避免该情况。区别在于#{username}是参数化查询，日志中可看出：

2018-07-17 14:59:34 -1444642 [http-apr-8080-exec-4] DEBUG   - ==>  Preparing: select * from db_user where username=?
2018-07-17 14:59:34 -1444643 [http-apr-8080-exec-4] DEBUG   - ==> Parameters: wang(String)
2018-07-17 14:59:34 -1444646 [http-apr-8080-exec-4] DEBUG   - <==      Total: 1

2.判断单个字符的不生效

    <select id="findByUserName"  resultMap="base" parameterType="String">
         select * from db_user where username=${username} 
       <if test="username!='1'">
            AND organization = #{organization} 
        </if>
    </select>

以上当username等于"1"时,并不生效。原因：mybatis是用OGNL表达式来解析的，在OGNL的表达式中，'1'会被解析成字符，java是强类型的，char 和 一个string 会导致不等，所以if标签中的sql不会被解析。

解决办法1，使用双引号。

解决办法2，username!='1'.toString()