日常开发BUG之mybatis 映射配置xml文件sql参数问题

    简单或者说是不起眼的一个小问题，折磨了我一上午，大体情况是这样的，我做一个过滤器动态拼装了sql传入当做过滤条件直接在xml中查询,然而情况并不如预想的一样，带进去的参数条件并没有发挥应有的过滤效果，然后各种打日志确保参数传入过程没有发生丢失之类，sql取参也是按照@param注解的名称应该不会出错，然而问题的出现明显就是传入的条件没有起作用导致，于是仔细检查后发现，在mysql映射文件中取参的方式有两种#{}和${}常规使用中推荐使用#{}取参，这样可以一定程度上防止SQL注入的漏洞，因为这样取出的参数是默认带了单引号的，这样带了单引号的会整体被当做字符串或者常量，并不会单独当做sql的执行部分，也是因为这样，我传入的过滤条件被加了单引号未起到过滤作用，这时候果断选用了${}来取参，安全问题只能在最初拼接sql的时候做敏感字处理，大体就是这样  ，简单的问题  ，有时候确耽误很久