2. 软件开发
    3. mybatis的#{}和${}的区别以及order by注入问题

    mybatis的#{}和${}的区别以及order by注入问题

    xiaoxiao2022-07-13  86

    mybatis的#{}和${}的区别以及order by注入问题

    原文   http://www.cnblogs.com/chyu/p/4389701.html  

    前言略,直奔主题..

    #{}相当于jdbc中的preparedstatement

    ${}是输出变量的值

    简单的说就是#{}传过来的参数带单引号'',而${}传过来的参数不带单引号。

    你可能说不明所以,不要紧我们看2段代码:

    String sql = "select * from admin_domain_location order by ?"; PreparedStatement st = con.prepareStatement(sql); st.setString(1, "domain_id"); System.out.println(st.toString());

    ResultSet rs = st.executeQuery();

    while(rs.next()){

    System.out.println(rs.getString("domain_id"));

    }

    输出结果:

    com.mysql.jdbc.PreparedStatement@1fa1ba1: select * from admin_domain_location order by 'domain_id'

    3

    4

    5

    2

    6

    这是个jdbc的preparedstatement例子,不要吐槽我这么写是否合法,这里只是为了说明问题.

    以上例子有得出以下信息: 1) order by后面如果采用预编译的形式动态输入参数,那么实际插入的参数是一个字符串,例子中是:order by  'domain_id'

    2)输出结果并没有排序,从sql语句中的形式我们也可以推测出此sql语句根本也不合法(正常应该是 order by domain_id )

    修改以上代码如下:

    String input = "domain_id"; String sql = "select * from admin_domain_location order by "+input; PreparedStatement st = con.prepareStatement(sql); System.out.println(st.toString()); ResultSet rs = st.executeQuery(); while(rs.next()){ System.out.println(rs.getString("domain_id")); } 输出结果:

    com.mysql.jdbc.PreparedStatement@1fa1ba1: select * from admin_domain_location order by domain_id

    2

    3

    4

    5

    6

    此次我们直接把一个变量的值拼接sql语句,从结果可以看出来:

    1)sql语句拼接正常

    2)查询结果排序正常

    你可能要问这和#{}与${}有什么关系..

    上面已经说过#{}相当于jdbc的preparedstatement,所以以上的第一个例子就相当于#{},那么第二个例子就自然而然指的是${}的情况.

    你可能说思维还是有些凌乱,不要紧我们来看第三个例子:

    String sql = "select * from admin_domain_location where domain_id=?"; PreparedStatement st = con.prepareStatement(sql); st.setString(1, "2"); System.out.println(st.toString()); ResultSet rs = st.executeQuery(); while(rs.next()){ System.out.println(rs.getString("domain_id")); } ======================================= String input = "2"; String sql = "select * from admin_domain_location where domain_id='"+input+"'"; PreparedStatement st = con.prepareStatement(sql); System.out.println(st.toString()); ResultSet rs = st.executeQuery(); while(rs.next()){ System.out.println(rs.getString("domain_id")); } 输出结果都为: com.mysql.jdbc.PreparedStatement@12bf560: select * from admin_domain_location where domain_id='2' 2

    这第三个例子虽然说的是#{}和{}通用的问题,也就是说在此种情况下#{}和{}通用的问题,也就是说在此种情况下#{}和{},那么不做任何处理的时候是存在sql注入危险的.你说怎么防止,那我只

    能悲惨的告诉你,你得手动处理过滤一下输入的内容,如判断一下输入的参数的长度是否正常(注入语句一般很长),更精确写查询一下输入的参数是否在预期的参数集合中..

    最新回复(0)