游乐游手机版
首页/数据库/文章详情

怎样解决MyBatis中$符号带来的SQL注入风险_替换为#预编译占位符

时间:2026-04-23 21:38
怎样解决MyBatis中$符号带来的SQL注入风险?关键在于厘清场景 一提到MyBatis中的${}和SQL注入,很多人的第一反应是:“把它换成 {}不就行了?” 其实,这个想法恰恰是问题的开始。真相是:绝大多数情况下,${}不能直接“替换为” {}——强行替换会导致SQL语法错误,程序根本跑不起来

怎样解决MyBatis中$符号带来的SQL注入风险?关键在于厘清场景

怎样解决MyBatis中$符号带来的SQL注入风险_替换为#预编译占位符

一提到MyBatis中的${}和SQL注入,很多人的第一反应是:“把它换成#{}不就行了?”

其实,这个想法恰恰是问题的开始。真相是:绝大多数情况下,${}不能直接“替换为”#{}——强行替换会导致SQL语法错误,程序根本跑不起来。真正的解决之道,在于搞清楚三个核心问题:哪些地方是误用了${}?哪些地方又不得不用${}?以及在那些必须用的场景下,如何守住安全底线。

哪些地方误用了${}?这是最常见的漏洞源头

生产环境里,绝大部分SQL注入漏洞都源于此。典型表现是:参数本应是纯粹的数据值(比如用户ID、搜索关键词、订单金额),却被错误地用${}拼接进了WHERE、INSERT或UPDATE子句中。

  • 错误写法示例:WHERE name = '${name}' 或者 AND status = ${status}
  • 后果有多严重?如果用户传入name="admin' OR '1'='1",SQL就会变成WHERE name = 'admin' OR '1'='1',直接导致全表数据泄露。
  • 正确做法:统一改为WHERE name = #{name}AND status = #{status}
  • 这里有个细节:#{}会自动处理类型,字符串会加引号,数字或布尔值会做对应转换,完全不需要手动拼接单引号。

哪些地方必须用${}?#{}真的无能为力

为什么不能全用#{}?因为它的底层是JDBC的PreparedStatement,所有参数都会被当作“值”来处理,并加上引号或进行类型绑定。而SQL语法中的某些部分,比如表名、字段名、ORDER BY后的排序方向、GROUP BY表达式,它们本身是“标识符”或“关键字”,绝对不能加引号,否则数据库会直接报语法错误。

  • 动态表名(如分库分表):FROM ${tableName}。如果写成FROM #{tableName},就会变成FROM 'user_202604',语法错误。
  • 动态排序:ORDER BY ${sortField} ${sortOrder}。如果字段名用了#{},会变成ORDER BY 'created_time',字段名被当成字符串,排序失效。
  • 动态分页的偏移量:LIMIT ${(page-1)*size}, #{size}。偏移量往往是个表达式,#{}不支持计算,而且偏移量作为数字也不能加引号。

必须用${}时,如何防御注入?白名单校验是唯一靠谱的方案

到了这一步,没有“银弹”。别指望靠过滤几个关键词或者转义单引号就能万事大吉,攻击面太广了(比如UNION SELECT、注释符--、内联注释/* */)。唯一能落地、真正有效的防御策略就是:只允许已知安全的输入。

  • 对动态表名:在Ja va层定义合法的表名数组,比如String[] validTables = {"user", "order_202601", "order_202602"},然后严格校验传入值是否在名单内:Arrays.asList(validTables).contains(tableName)
  • 对排序字段:使用枚举或Map进行映射。例如,建立一个映射关系:Map.of("ctime", "created_time", "utime", "updated_time")。前端只传递“ctime”这样的key,后端根据映射表转换为真实的数据库字段名。
  • 对排序方向:强制限定只能为"asc""desc",其他任何输入一律拒绝,或者提供一个安全的默认值(如"asc")。
  • 核心原则:绝对不要将用户原始的、未经检查的输入(无论是HTTP参数还是JSON字段)直接塞进${}里。这无异于给攻击者递上了一把打开数据库大门的钥匙。

模糊查询(LIKE)场景的典型陷阱与正确解法

这个场景非常典型。很多人为了图省事,会写成LIKE '%${keyword}%',但这正是高危写法。正确的姿势是,让#{}承担传递值的责任,而通配符的逻辑交给数据库函数去处理。

  • 错误的高危写法:WHERE title LIKE '%${keyword}%'。如果keyword="a%b' OR '1'='1",注入将直接穿透。
  • 推荐写法(MySQL):WHERE title LIKE CONCAT('%', #{keyword}, '%')
  • 或Oracle写法:WHERE title LIKE '%' || #{keyword} || '%'
  • 关键点:通配符%由数据库的字符串连接函数(如CONCAT)包裹,用户输入的值始终通过#{}走预编译,完全不参与SQL字符串的拼接。

最后,还有一个极易被忽略的“坑”:MyBatis Generator等工具自动生成的XML代码中,片段和ORDER BY子句默认可能使用${}。很多人直接复制使用,却忘了补充白名单校验。记住,只要代码中间出现了${},就必须问自己一句:这个值是完全由我控制的吗?如果答案是否定的,那么就必须在Ja va层加上一层严格的校验或映射转换。这才是守住安全防线的关键所在。

来源:https://www.php.cn/faq/2324230.html
上一篇mysql数据意外丢失该怎么找回_InnoDB事务日志RedoLog灾备原理 下一篇Oracle如何防止DBA误操作删除用户_使用系统触发器保护
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
phpMyAdmin批量导入多个小型SQL碎片文件方法
数据库 · 2026-07-05

phpMyAdmin批量导入多个小型SQL碎片文件方法

许多开发者习惯将多个小型SQL碎片文件一同上传到phpMyAdmin的导入页面,误以为平台能像文件夹一样批量处理——但实际情况是,系统仅识别第一个文件,其余文件会被静默忽略,无法执行。 根本原因其实并不复杂:phpMyAdmin的导入机制本质上是一个单文件上传接口。其import页面仅包含一个字段,

phpMyAdmin设置表AUTO_INCREMENT起始值的方法
数据库 · 2026-07-05

phpMyAdmin设置表AUTO_INCREMENT起始值的方法

phpMyAdmin里改AUTO_INCREMENT值,点“保存”却没反应? 其实,问题往往出在两个容易被忽视的细节上: 1 **错误点击了“保存”而非“执行”按钮**。phpMyAdmin 的“操作”页面中,AUTO_INCREMENT 输入框属于一个独立的表单。如果在字段旁点击“保存”

MySQL主从数据一致性检查pt-table-checksum使用方法和步骤详解
数据库 · 2026-07-05

MySQL主从数据一致性检查pt-table-checksum使用方法和步骤详解

pt-table-checksum 必须在主库执行——这一点,很多初次接触的人都会踩坑。它并不是“直连从库去比对”,而是借助 binlog 复制将校验逻辑同步过去,由从库本地重新计算,再写入 percona checksums 表。简单来说,你在主库发送一条类似 REPLACE INTO perco

MySQL连接被阻断错误原因及解除方法
数据库 · 2026-07-05

MySQL连接被阻断错误原因及解除方法

你是否遇到过 MySQL 报出 Host is blocked 的错误?先别急着怀疑密码是否正确——这本质上并非单纯的连接失败,而是你的 IP 地址已被 MySQL 主动列入黑名单。此时,即便输入完全正确的密码,数据库也会毫不留情地拒绝访问。要想立刻解除封锁,唯一的办法就是清空 host cache

MySQL 8.0跨库联合查询权限配置详解
数据库 · 2026-07-05

MySQL 8.0跨库联合查询权限配置详解

MySQL 8 0 的跨库联合查询功能原生内置,无需额外安装插件或修改配置文件。很多开发者遇到 SQL 语法正确却报 ERROR 1142 的情况时,常会困惑——其实并非 MySQL 限制跨库操作,而是权限验证环节未通过。 简而言之,跨库查询受阻的根源通常不是功能未启用,而是权限分配不完整或授权语句