2. 程式人生 > >MyBatis排序時使用order by 動態引數時需要注意,用$而不是#, #{}和${}的區別以及order by注入問題

MyBatis排序時使用order by 動態引數時需要注意,用$而不是#, #{}和${}的區別以及order by注入問題

阿新 發佈:2019-01-03
ORDER BY ${columnName}
這裡MyBatis不會修改或轉義字串

重要:接受從使用者輸出的內容並提供給語句中不變的字串,這樣做是不安全的。這會導致潛在的SQL注入攻擊,因此你不應該允許使用者輸入這些欄位,或者通常自行轉義並檢查。

#{}相當於jdbc中的preparedstatement

${}是輸出變數的值

簡單的說就是#{}傳過來的引數帶單引號'',而${}傳過來的引數不帶單引號。

你可能說不明所以,不要緊我們看2段程式碼:

String sql = "select * from admin_domain_location order by ?";
PreparedStatement st = con.prepareStatement(sql);
st.setString(1, "domain_id");
System.out.println(st.toString());

ResultSet rs = st.executeQuery();

while(rs.next()){

System.out.println(rs.getString("domain_id"));

}

輸出結果:

[email protected]: select * from admin_domain_location order by 'domain_id'

3

4

5

2

6

這是個jdbc的preparedstatement例子,不要吐槽我這麼寫是否合法,這裡只是為了說明問題.

以上例子有得出以下資訊: 1) order by後面如果採用預編譯的形式動態輸入引數,那麼實際插入的引數是一個字串,例子中是:order by  'domain_id'

2)輸出結果並沒有排序,從sql語句中的形式我們也可以推測出此sql語句根本也不合法(正常應該是 order by domain_id )

修改以上程式碼如下:

String input = "domain_id";
String sql = "select * from admin_domain_location order by "+input;
PreparedStatement st = con.prepareStatement(sql);
System.out.println(st.toString());
ResultSet rs = st.executeQuery();
while(rs.next()){
    System.out.println(rs.getString("domain_id"));
}
輸出結果:

[email protected]: select * from admin_domain_location order by domain_id

2

3

4

5

6

此次我們直接把一個變數的值拼接sql語句,從結果可以看出來:

1)sql語句拼接正常

2)查詢結果排序正常

你可能要問這和#{}與${}有什麼關係..

上面已經說過#{}相當於jdbc的preparedstatement,所以以上的第一個例子就相當於#{},那麼第二個例子就自然而然指的是${}的情況.

你可能說思維還是有些凌亂,不要緊我們來看第三個例子:

String sql = "select * from admin_domain_location where domain_id=?";
PreparedStatement st = con.prepareStatement(sql);
st.setString(1, "2");
System.out.println(st.toString());
ResultSet rs = st.executeQuery();
while(rs.next()){
  System.out.println(rs.getString("domain_id"));
}
=======================================
String input = "2";
String sql = "select * from admin_domain_location where domain_id='"+input+"'";
PreparedStatement st = con.prepareStatement(sql);
System.out.println(st.toString());
ResultSet rs = st.executeQuery();
while(rs.next()){
  System.out.println(rs.getString("domain_id"));
}
輸出結果都為:
[email protected]12bf560: select * from admin_domain_location where domain_id='2'
2

這第三個例子雖然說的是#{}和{}通用的問題,也就是說在此種情況下#{}和{}通用的問題,也就是說在此種情況下#{}和{}是通用的,只不過需要些小的轉換.如例子中需要手動

拼接單引號 ' ' 到變數值的前後,確保sql語句正常.

簡單說#{}是經過預編譯的,是安全的,而${}是未經過預編譯的,僅僅是取變數的值,是非安全的,存在sql注入.

這裡先說一下只能,,orderby的情況,從我們前面的例子中也能看出,orderby是肯定只能用{}了,用#{}會多個' '導致sql語句失效.此外還有一個like 語句後也需要用${},簡單想一下

就能明白.由於,sql,orderby僅僅是簡單的取值,所以以前sql注入的方法適用此處,如果我們orderby語句後用了{},那麼不做任何處理的時候是存在sql注入危險的.你說怎麼防止,那我只

能悲慘的告訴你,你得手動處理過濾一下輸入的內容,如判斷一下輸入的引數的長度是否正常(注入語句一般很長),更精確寫查詢一下輸入的引數是否在預期的引數集合中..

原文:http://www.cnblogs.com/yanspecial/p/5659429.html

相關推薦

MyBatis排序使用order by 動態引數需要注意$是#, #{}${}的區別以及order by注入問題

ORDER BY ${columnName}這裡MyBatis不會修改或轉義字串。重要:接受從使用者輸出的內容並提供給語句中不變的字串,這樣做是不安全的。這會導致潛在的SQL注入攻擊,因此你不應該允許使用者輸入這些欄位,或者通常自行轉義並檢查。 #{}相當於jdbc中的

MyBatis排序使用order by 動態引數需要注意$是#

字串替換預設情況下,使用#{}格式的語法會導致MyBatis建立預處理語句屬性並以它為背景設定安全的值(比如?)。這樣做很安全,很迅速也是首選做法,有時你只是想直接在SQL語句中插入一個不改變的字串。比如,像ORDER

MyBatis中只傳一個String引數注意的事項

引數名為_parameter,不需要指定成傳入的引數名,參考程式碼如下: <select id="getLoop" resultMap="AAA" parameterType="String"> SELECT *, ROWNUM RN from tablename

PLSQL 打開出現"動態執行表不可訪問本會話的自動統計被禁止"

訪問權限 app 對話 導航 如果 name 局限 方式 點擊 這個報錯信息在不同的PL/SQL Developer版本都會出現,從上面詳細的報錯提示信息中我們可以判斷得到,報錯原因不在工具本身。在此,詳細記錄一下這個小問題的三種處理方法。1.第一種處理方法(不推薦)就是在

mybatis的#{}${}的區別以及order by注入問題

 由於不想註冊,轉載以上地址的文章。在此感謝此位網友分享。 前言略,直奔主題.. #{}相當於jdbc中的preparedstatement ${}是輸出變數的值 你可能說不明所以,不要緊我們看2段程式碼: String sql = "select * from a

mybatis的#{}${}的區別以及order by注入問題(轉錄)

原文連結:http://www.cnblogs.com/chyu/p/4389701.html 前言略,直奔主題.. #{}相當於jdbc中的preparedstatement ${}是輸出變數的值 你可能說不明所以,不要緊我們看2段程式碼: String

scala def/val/lazy val區別以及call-by-namecall-by-value

ID sta 立即執行 學習 新的 com AR csdn 重新 scala 學習 參考鏈接:https://blog.csdn.net/qq_29343201/article/details/56281777 scala def/val/lazy val區別以及call-

Mybatis中#{}${}的區別以及對sql注入、預編譯、jdbcType的說明

#{}和${}都可以獲取map中的值或者pojo物件屬性的值; sql語句示例: select * from tbl_employee where id=${id} and last_name=#{lastName} Preparing: select * from tbl_employee

討論!MyBatis中利用package自動掃描包中的類預設別名只是首字母小寫!

  這個問題我是在看書的時候碰到的。書上寫著通過package標籤掃描包中的類,將其第一個字母變為小寫作為其別名。我在網上查了一些博主也是這麼寫的 但是!我發現,無論大小寫,只要是類名就好,而且,不區分大小寫是針對所有字母,例如我的JavaBean中有個類叫Role,而在應用它的別名時我用rOle也是好使的

動態生成頁面的時候 需要注意的IE/FF相容

<script language="javascript">function Testlink(){//var alink=document.getElementsByTagName("A")[0].href;var alink=document.getElementsByTagName("A")

0708 post請求把引數放到報文訊息體中是拼接在url後面

post請求失敗 今天寫介面,在聯調。我要呼叫隊友php的介面資料,而要求使用post請求。 而當我寫好程式碼,跑起來,卻說我沒有傳參。最後發現,是因為我使用的工具類的方法是把引數拼到了url後面,而不是放到請求體中,所以導致拿不到資料。 我用的工具類的方

mybatis xml中實現一對多查詢 子查詢帶多個引數

1、mapper檔案中: List<Object> getXXXXX(@Param("taskId")String taskId,@Param("taskType")String taskType); 2、xml檔案中 <select id="" resultMap

關於Mybatis的select 查詢 傳遞多個引數的4種方式

下面給大家總結了以下幾種多引數傳遞的方法。 方法1:順序傳參法 public User selectUser(String name, int deptId); <select id="selectUser" resultMap="UserResultMap"> sel

Mybatis if test 動態判斷數字需要注意的問題

一 錯誤案例 mapper 程式碼 <if test="filter == 1">//filter型別為Integer and r.provider_code != #{pro

Mybatis】為什麼mybatis插入引數佔位符裡面要寫jdbcType?

為什麼mybatis中,插入引數時,佔位符裡面要寫jdbcType? 最近一直很納悶,以前寫Mybatis,老師都沒有要求寫過jdbcType,也沒有出過什麼錯,而在公司,卻都寫了jdbcType,這個jdbcType為什麼都寫?是不是有什麼原因; 看了

MyBatis 傳入多個引數如何處理

方式一:通過使用索引方式,來指定想傳入的引數,#{index}   索引從0開始。 DAO介面 Mybatis配置 注意: 1.由於是多引數傳入,所以不需要對parameterType進行配置

mybatis中傳遞引數會加上單引號

1) 使用#{引數}傳入會加上單引號,sql語句解析是會加上"", 比如  select * from table where name = #{name} ,傳入的name為小李,那麼最後打印出來的就是  select * from table where nam

vb.net呼叫vc動態傳遞陣列引數注意的問題

vb.net呼叫vc寫的dll的時候,需要從vb.net傳遞陣列到dll函式,在vc dll中首先malloc了空間,然後將陣列引數指標指向了分配的地址,然後完成了演算法,最後free,結果編譯連結都

mybatis mapper xml文件配置resultmapid行result行有什麽區別

什麽 column invoice 配置 app nbsp ava customer entity mybatis mapper xml文件配置resultmap時,id行和result行有什麽區別? <resultMap id = "CashInvoiceMap"

定義一個帶參的巨集使兩個引數的值互換並寫出程式輸入兩個數作為使用巨集的實參。輸出已交換後的兩個值。

import java.util.Scanner; public class Main {     public static void main(String[] args) {         Scanne