游乐游手机版
首页/数据库/文章详情

MyBatis 3.x中动态SQL的foreach标签防止SQL注入的实用方法与技巧

时间:2026-07-01 07:01
首先明确一个关键误区:MyBatis 的 foreach 标签本身并不具备防注入能力,真正起到防护作用的是你坚持使用 {item} 而非 ${item}。此外,空集合或 null 必须通过 包裹处理,collection 的取值也需严格匹配参数的命名与包装方式——否则可能引发语法错误,或者悄无声息

首先明确一个关键误区:MyBatis 的 foreach 标签本身并不具备防注入能力,真正起到防护作用的是你坚持使用 #{item} 而非 ${item}。此外,空集合或 null 必须通过 包裹处理,collection 的取值也需严格匹配参数的命名与包装方式——否则可能引发语法错误,或者悄无声息地导致数据遗漏。

MyBatis 3.x中动态SQL的foreach标签如何防止SQL注入?

foreach 本身不防注入,防注入靠的是 #{}

许多开发者误以为使用了 foreach 就高枕无忧,实际上它只是动态 SQL 的遍历语法糖。真正防止 SQL 注入的关键,在于 foreach 内部是否老老实实使用 #{item}——而不是图省事采用 ${item} 或手动拼接字符串。

常见错误示例:认为 foreach 自带安全光环,结果写成 #{id} OR id = ${id}。后半句 ${id} 直接把用户输入拼入 SQL,瞬间突破防线,注入风险极大。

  • foreach 仅负责将集合展开为多个 #{} 占位符,底层仍依赖 PreparedStatement 批量绑定机制
  • 一旦混用 ${},哪怕只在一个 #{} 旁添加一个 ${item},整条 SQL 的安全防线便会瞬间瓦解
  • 若传入的集合元素为用户可控的字符串(如前端的 String[] keywords),必须确保每个元素均通过 #{} 绑定,切勿轻信集合内容已被清洗

collection 和 item 配错会导致 SQL 错误,但不等于注入

配错 collectionitem 的名称时,常见表现是 BindingException: Parameter 'xxx' not found,或者生成一个空的 IN ()。这类错误会直接抛出异常或导致查询无结果,但不会引发注入——因为根本没有生成有效的 SQL,更谈不上执行恶意语句。这可谓不幸中的万幸。

典型翻车现场:

  • 接口方法参数使用 @Param("userIds") List ids,XML 中却写 collection="list" → 找不到 listforeach 直接罢工
  • item="uid",但内部用 #{userId} → OGNL 找不到属性,抛出 BindingException
  • 传入 List,却在 #{uid.name} 访问属性 → 运行时报 ognl.MethodFailedException

空集合或 null 必须用 包裹,否则语法出错

foreach 遇到 null 或空集合时,不会输出任何内容。这会导致 SQL 语法断裂——例如 WHERE id IN 后面直接跟着 AND status = 1,数据库立刻报 SQLSyntaxErrorException。这虽然不是注入问题,但会让查询直接崩溃。

正确做法是显式使用 兜底:


  
    id IN #{id}
  
  AND status = #{status}
  • 切勿认为 foreach 具备空判断逻辑——它完全没有
  • test="ids != null and !ids.isEmpty()" 中的 !ids.isEmpty() 不能简写为 ids.size() > 0,MyBatis 的 OGNL 对空集合调用 size() 可能抛出 NullPointerException
  • 若业务允许空集合查询全表,需额外添加 OR 1=1 分支,但务必谨慎评估权限与性能影响

数组、Map、对象列表的 collection 值怎么写才不翻车

collection 的值并非凭借经验猜测,它严格对应 Java 方法的签名和参数的包装方式。写错了就会找不到集合,foreach 彻底失效。

  • 单个 List 参数,未加 @Paramcollection="list"
  • 单个 Long[] 参数,未加 @Paramcollection="array"
  • @Param("ids") List idscollection="ids"
  • 传入 Map:map.put("orderIds", list)collection="orderIds"
  • 传入对象 UserQuery query,其中 query.getIds() 返回 Listcollection="ids"(取 getter 名,去掉 get 并首字母小写)

最易被忽视的是:泛型擦除后,MyBatis 无法区分 ListList,全靠传参时类型一致以及 XML 中 #{} 正确使用——否则运行时会抛出 OGNL 异常,而非编译期发现。因此测试阶段务必覆盖各种边界情况。

来源:https://www.php.cn/faq/2659129.html
上一篇SQL查询中如何用CONCAT函数拼接多列数据 下一篇使用SQL嵌套查询追溯历史操作审计日志
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
MyBatis Hive多表关联实现方法
数据库 · 2026-07-01

MyBatis Hive多表关联实现方法

MyBatis处理Hive多表关联查询与普通数据库类似。需准备映射文件,使用association和collection标签定义关联;创建Java实体类包含集合成员变量承接一对多关系;编写Mapper接口声明查询方法;配置MyBatis环境注册映射;最后通过SqlSession调用即可获取关联数据。

提升Hive Metastore查询速度的有效方法
数据库 · 2026-07-01

提升Hive Metastore查询速度的有效方法

HiveMetastore查询优化需从存储优化、缓存机制、查询策略、索引构建、并行能力、配置调优、硬件升级、数据分区及定期维护等多方面协同入手,综合提升系统吞吐量与响应速度,有效降低查询延迟。

Hive Metastore处理大数据的核心机制
数据库 · 2026-07-01

Hive Metastore处理大数据的核心机制

HiveMetastore管理元数据,通过分库分表、读写分离应对海量元数据,调整JVM堆内存并采用G1GC提升稳定性,利用HDFS或云存储及CBO优化器加速查询,在大数据场景下提供高效元数据服务。

Kafka Coordinator 如何监控集群的完整方法与最佳实践指南
数据库 · 2026-07-01

Kafka Coordinator 如何监控集群的完整方法与最佳实践指南

Kafka协调器监控可通过命令行工具、KafkaManager及JMX实时查看消费者滞后、分区状态等性能指标,并利用Prometheus+Grafana实现长期可视化监控与告警,从而确保集群稳定运行。

Hive中row_number()函数性能的实用高效监控方法与优化技巧
数据库 · 2026-07-01

Hive中row_number()函数性能的实用高效监控方法与优化技巧

Hive中row_number()性能受数据量、索引、查询复杂度及数据倾斜影响。优化需通过分区、建索引、查询优化、使用ORC Parquet格式及调整CBO和并行度实现。监控可借助HiveWebUI、YARN界面、日志或第三方工具定位瓶颈,持续迭代改进。