作者:程式猿的內心獨白 https://m.toutiaocdn.com/i6685496024770806280 這是一次代碼優化過程中發現的問題,在功能優化後發現部分數據查不到出來了,問題就在於一條sql上的#和$。 下圖為兩條sql: 從圖上可以看出 wwlr.LabelId in($) 和 ...
作者:程式猿的內心獨白
https://m.toutiaocdn.com/i6685496024770806280
這是一次代碼優化過程中發現的問題,在功能優化後發現部分數據查不到出來了,問題就在於一條sql上的#和$。
下圖為兩條sql:
從圖上可以看出 wwlr.LabelId in(${showLabels}) 和 wwlr.LabelId in(#{showLabels}),其中showLabels是傳進來一個字元串類型的參數,參數的樣子是這樣的“4,44,514”,問題就出在這個參數傳進來後#和$處理的方式是不一樣的。
區別
1、#{ }是預編譯處理,MyBatis在處理#{ }時,它會將sql中的#{ }替換為?,然後調用PreparedStatement的set方法來賦值,傳入字元串後,會在值兩邊加上單引號,如上面的值 “4,44,514”就會變成“ '4,44,514' ”;
2、${ }是字元串替換, MyBatis在處理${ }時,它會將sql中的${ }替換為變數的值,傳入的數據不會加兩邊加上單引號。
註意:使用${ }會導致sql註入,不利於系統的安全性!
SQL註入:就是通過把SQL命令插入到Web表單提交或輸入功能變數名稱或頁面請求的查詢字元串,最終達到欺騙伺服器執行惡意的SQL命令。
常見的有匿名登錄(在登錄框輸入惡意的字元串)、藉助異常獲取資料庫信息等
應用場合:
1、#{ }:主要用戶獲取DAO中的參數數據,在映射文件的SQL語句中出現#{}表達式,底層會創建預編譯的SQL;
2、${ }:主要用於獲取配置文件數據,DAO介面中的參數信息,當$出現在映射文件的SQL語句中時創建的不是預編譯的SQL,而是字元串的拼接,有可能會導致SQL註入問題.所以一般使用$接收dao參數時,這些參數一般是欄位名,表名等,例如order by {column}。
註:
${}獲取DAO參數數據時,參數必須使用@param註解進行修飾或者使用下標或者參數#{param1}形式;
{}獲取DAO參數數據時,假如參數個數多於一個可有選擇的使用@param。
問題分析
其實剛開始我也沒太去看sql里的#和$,我把sql放到資料庫跑一切正常,所以我就將代碼的執行sql輸出到控制台了,具體是這麼一個輸出sql的配置文件:
輸出後,終於發現了問題在哪裡。。。。
看了上面的區別介紹,相信大家其實都應該知道區別在哪裡,我們的問題在哪裡,其實就是sql在in的時候 ,裡面的數據被加了兩個雙引號。“wwlr.LabelId in(4,44,514)就會變成 wwlr.LabelId in('4,44,514' );所以導致部分數據查不到了。
解決辦法
1、快速解決
最快的方法就是把#直接替換成$,這樣問題應該就可以解決了。
但是,我很無語,我確沒有解決。
本地跑代碼一點問題都沒有,部署到公司的docker上問題一樣沒解決,給人的感覺就是代碼根本沒有從#變$。
大家都知道$其實是有危險性,會容易被sql註入,具我所知道,我們公司的docker是會加一層防止 sql註入的功能 ,所以不知道是不是這個功能把的$無效掉了。
當然,我也沒有去再到服務上打出sql來看一下,因為本來$就是不太安全的,所以我換了一種方式處理。
2、foreach標簽的使用
foreach標簽主要用於構建in條件,他可以在sql中對集合進行迭代。
先來看看語法:
通過上圖,大家也應該也瞭解和使用這個標簽了吧。
那對於我們項目中的改造,其實就是把原來傳進來的字元型參數變成List
推薦去我的博客閱讀更多:
2.Spring MVC、Spring Boot、Spring Cloud 系列教程
3.Maven、Git、Eclipse、Intellij IDEA 系列工具教程
覺得不錯,別忘了點贊+轉發哦!
