MyBaits系列（三）MyBatis的模糊查询和SQL注入

骑猪看日落 2023-01-16 14:25 272阅读 0赞

--------------------

扩展：[MyBatis系列学习汇总][MyBatis]

--------------------

### 文章目录 ###

*   *   *   *  一、模糊查询
             *   *  1.1、抽象接口
                 *  1.2、xml
                 *  1.3、测试类
                 *  1.4、执行结果
             *  二、SQL注入
             *   *  2.1、\`\#\`和\`$\`的区别
                 *  2.2、\`\#\`和\`$\`验证
                 *  2.3、如何模拟sql注入？

#### 一、模糊查询 ####

##### 1.1、抽象接口 #####

List<Map<String,Object>> selectLIKEUser(Map<String,Object> parmsMap);

##### 1.2、xml #####

*  看到这个就知道为啥字段如果是`like`的话要用飘号包起来了吧？

<select id="selectLIKEUser" resultType="map" parameterType="map">
            select
                   *
            from
                 user
            where
                name like "%"#{name}"%"
    
        </select>

##### 1.3、测试类 #####

@Test
        public void selectLIKEUser() { 
            SqlSession session = MybatisUtils.getSession();
            UserMapper mapper = session.getMapper(UserMapper.class);
            Map<String,Object> parmsMap = new HashMap<>();
            parmsMap.put("name","面");
            List<Map<String,Object>> resultList = mapper.selectLIKEUser(parmsMap);
    
            for (Map map: resultList){ 
                System.out.println(map);
            }
            session.close();
        }

##### 1.4、执行结果 #####

*  数据  
    ![在这里插入图片描述][20210426104508885.png]
 *  结果

![在这里插入图片描述][20210426104518954.png]

#### 二、SQL注入 ####

##### 2.1、`#`和`$`的区别 #####

*  `#`将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。
 *  `$`将传入的数据直接显示生成在sql中。
 *  `#`方式能够很大程度防止sql注入，`$`方式无法防止Sql注入。
 *  `$`方式一般用于传入数据库对象，例如传入表名。
 *  一般能用`#`的就别用`$`，若不得不使用`“${xxx}”`这样的参数，要手工地做好过滤工作，来防止`SQL注入攻击`。

##### 2.2、`#`和`$`验证 #####

①我们使用log4j来讲SQL执行语句打印在控制台上。

*  导入jar

<dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-core</artifactId>
                <version>2.6.1</version>
            </dependency>

*  log4j2.properties

log4j.rootLogger=DEBUG,console,file
    
    log4j.appender.console = org.apache.log4j.ConsoleAppender
    log4j.appender.console.Target = System.out
    log4j.appender.console.Threshold=DEBUG
    log4j.appender.console.layout = org.apache.log4j.PatternLayout
    log4j.appender.console.layout.ConversionPattern=[%c]-%m%n
    
    log4j.appender.file = org.apache.log4j.RollingFileAppender
    
    log4j.appender.file.File=log/tibet.log
    
    log4j.appender.file.MaxFileSize=10mb
    log4j.appender.file.Threshold=ERROR
    log4j.appender.file.layout=org.apache.log4j.PatternLayout
    log4j.appender.file.layout.ConversionPattern=[%p][%d{yy-MM-dd}][%c]%m%n
    
    log4j.logger.org.mybatis=DEBUG
    log4j.logger.java.sql=DEBUG
    log4j.logger.java.sql.Statement=DEBUG
    log4j.logger.java.sql.ResultSet=DEBUG
    log4j.logger.java.sql.PreparedStatement=INFO

*  ContextAplication.xml

*  这样就开启了日志输出，这里只介绍最简单的，不作详细讲解log4j日志。

②SQL-xml

*  `#`

<select id="getUserInfoById" resultType="com.dbright.pojo.User">
            select * from user where id = #{id}
        </select>

*  `$`

<select id="getUserInfoById" resultType="com.dbright.pojo.User">
            select * from user where id = ${id}
        </select>

③分别执行结果

*  `#`  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgyOTQ0Mw_size_16_color_FFFFFF_t_70]
 *  `$`  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgyOTQ0Mw_size_16_color_FFFFFF_t_70 1]

##### 2.3、如何模拟sql注入？ #####

*  注入非法语句：  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgyOTQ0Mw_size_16_color_FFFFFF_t_70 2]
 *  结果：查出了所有的数据，不安全  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgyOTQ0Mw_size_16_color_FFFFFF_t_70 3]
 *  如何解决呢？
    
     *  能用`#`就用
     *  一定要用`$`的情况下，在service层加验证，比如我们的例子，只接受int类型的参数即可。
     *  或者简单的判断一下参数是否超过长度，因为注入语句一般很长！

--------------------

**路漫漫其修远兮，吾必将上下求索！**

`如果你认为i博主写的不错！写作不易，请点赞、关注、评论加收藏！三连一下！给博主一个鼓励吧~`

`转载请注明出处哦~`

[MyBatis]: https://blog.csdn.net/weixin_43829443/article/details/115354172?spm=1001.2014.3001.5502
[20210426104508885.png]: /images/20221022/319089f66aca42bba8e45e174c392801.png
[20210426104518954.png]: /images/20221022/72615bd5d2dc4b40a929a768fbe71584.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgyOTQ0Mw_size_16_color_FFFFFF_t_70]: /images/20221022/3238c4dde4634bbdbb7abe37a03b53f5.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgyOTQ0Mw_size_16_color_FFFFFF_t_70 1]: /images/20221022/c626cbd6f3064ab5afd285bcd2c8d9c5.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgyOTQ0Mw_size_16_color_FFFFFF_t_70 2]: /images/20221022/0644fa1d093d4a90870648108b40e9ee.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgyOTQ0Mw_size_16_color_FFFFFF_t_70 3]: /images/20221022/499487e23cc64720847dea9034a1d3e9.png