MyBatis $和#区别及SQL注入风险

mybatis中$和#参数区别

MyBatis支持两种参数符号，一种是#，另一种是$。
使用参数符号#的句子： SELECT * FROM PERSON WHERE ID = #{id} MyBatis会创建一个预编译语句，生成的代码类似于

 // Similar JDBC code, NOT MyBatis… 
    String selectPerson = "SELECT * FROM PERSON WHERE ID=?";
     PreparedStatement ps = conn.prepareStatement(selectPerson); 
     ps.setInt(1,id); 

参数会在SQL语句中用占位符”?”来标识，然后使用prepareStatement来预编译这个SQL语句。 另一种使用参数符号$时，MyBatis直接用字符串拼接把参数和SQL语句拼接在一起，然后执行。众所周知，这种情况非常危险，极容易产生SQL注入漏洞。 在使用MyBatis框架时，有以下场景极易产生SQL注入。 SQL语句中的一些部分，例如order by字段、表名等，是无法使用预编译语句的。这种场景极易产生SQL注入。推荐开发在Java层面做映射，设置一个字段/表名数组，仅允许用户传入索引值。这样保证传入的字段或者表名都在白名单里面。 like参数注入。使用如下SQL语句可防止SQL注入 like concat(’%’,#{title}, ‘%’)。

generator 代码生成工具的SQL注入风险

为了提高开发效率，一些generator工具被开发出来，generator是一个从数据库结构 自动生成实体类、Mapper接口以及对应的XML文件的工具。常见的generator有mybatis-generator，renren-generator等。 mybatis-generator是mybatis官方的一款generator。在mybatis-generator自动生成的SQL语句中，order by使用的是$，也就是简单的字符串拼接，这种情况下极易产生SQL注入。需要开发者特别注意。 不过，mybatis-generator产生的like语句和in语句全部都是用的参数符号#，都是非常安全的实现。