連接:https://m.toutiaocdn.com/i6685496024770806280web
這是一次代碼優化過程當中發現的問題,在功能優化後發現部分數據查不到出來了,問題就在於一條sql上的#和$。
面試
下圖爲兩條sql:sql
從圖上能夠看出 wwlr.LabelId in(${showLabels}) 和 wwlr.LabelId in(#{showLabels}),其中showLabels是傳進來一個字符串類型的參數,參數的樣子是這樣的「4,44,514」,問題就出在這個參數傳進來後#和$處理的方式是不同的。docker
一、#{ }是預編譯處理,MyBatis在處理#{ }時,它會將sql中的#{ }替換爲?,而後調用PreparedStatement的set方法來賦值,傳入字符串後,會在值兩邊加上單引號,如上面的值 「4,44,514」就會變成「 '4,44,514' 」;
數據庫
二、${ }是字符串替換, MyBatis在處理${ }時,它會將sql中的${ }替換爲變量的值,傳入的數據不會加兩邊加上單引號。安全
注意:使用${ }會致使sql注入,不利於系統的安全性!服務器
SQL注入:就是經過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL命令。常見的有匿名登陸(在登陸框輸入惡意的字符串)、藉助異常獲取數據庫信息等微信
應用場合:app
一、#{ }:主要用戶獲取DAO中的參數數據,在映射文件的SQL語句中出現#{}表達式,底層會建立預編譯的SQL;框架
二、${ }:主要用於獲取配置文件數據,DAO接口中的參數信息,當$出如今映射文件的SQL語句中時建立的不是預編譯的SQL,而是字符串的拼接,有可能會致使SQL注入問題.因此通常使用$接收dao參數時,這些參數通常是字段名,表名等,例如order by {column}。
注:
${}獲取DAO參數數據時,參數必須使用@param註解進行修飾或者使用下標或者參數#{param1}形式;
#{}獲取DAO參數數據時,假如參數個數多於一個可有選擇的使用@param。
其實剛開始我也沒太去看sql裏的#和$,我把sql放到數據庫跑一切正常,因此我就將代碼的執行sql輸出到控制檯了,具體是這麼一個輸出sql的配置文件:
輸出後,終於發現了問題在哪裏。。。。
看了上面的區別介紹,相信你們其實都應該知道區別在哪裏,咱們的問題在哪裏,其實就是sql在in的時候 ,裏面的數據被加了兩個雙引號。「wwlr.LabelId in(4,44,514)就會變成 wwlr.LabelId in('4,44,514' );因此致使部分數據查不到了。
一、快速解決
最快的方法就是把#直接替換成$,這樣問題應該就能夠解決了。
可是,我很無語,我確沒有解決。
本地跑代碼一點問題都沒有,部署到公司的docker上問題同樣沒解決,給人的感受就是代碼根本沒有從#變$。
你們都知道$實際上是有危險性,會容易被sql注入,具我所知道,咱們公司的docker是會加一層防止 sql注入的功能 ,因此不知道是否是這個功能把的$無效掉了。
固然,我也沒有去再到服務上打出sql來看一下,由於原本$就是不太安全的,因此我換了一種方式處理。
二、foreach標籤的使用
foreach標籤主要用於構建in條件,他能夠在sql中對集合進行迭代。
先來看看語法:
經過上圖,你們也應該也瞭解和使用這個標籤了吧。
那對於咱們項目中的改造,其實就是把原來傳進來的字符型參數變成List<Integer>,這樣問題就完美的解決了,既實現了咱們的功能 ,又解決了安全性問題。
- End -
推薦閱讀
1. 面試官問:Spring 爲啥默認把bean設計成單例的?
2. 危險!80% 用戶正在考慮放棄 Oracle JDK…
3. 面試官問:Mybatis 框架下 SQL 注入攻擊的 3 種方式
4. 再見 count(*)
加微信回覆"考試"便可獲取
SSM實現的開發視頻考試系統課程
好文點個在看吧!
本文分享自微信公衆號 - Java面試進化論(AuditionEvolution)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。