mybatis的xml配置中使用${}可能发生SQL注入，应使用#{}

项目中遇到了这样的情况，在页面的文本域输入一堆某表的编号，每行是一个编号，用这些编号在后台查询数据库表的code字段。

 

比如输入的编号是：

AAA

BBB

CCC

错误示范：

从前台页面获得参数后，参数用\n分割，加好双引号和逗号，最后拼成一个类似”AAA”,”BBB”,”CCC”的字符串，在xml配置中使用 code in (${codeArray})的形式把字符串传给数据库，就像这样：

<if test="codeArray !=null">code in (${codeArray})</if>

处理之后的sql大概是这样的：

select * from table where code in (”AAA”,”BBB”,”CCC”);

 

存在的问题：可能出现sql注入

比如：如果在文本域输入的内容是123") or true or (id="，最后拼成的sql就会是这样的：

select * from table where code in (“123”)or true or (id=””);

查询的结果会是表内所有的记录。

 

建议的方式：使用#{}，列表的情况可以用mybatis的<foreach>标签来配合，比如这样：

<if test="codeArray !=null">    code in    <foreach collection="codeArray" item="item" index="index"open="(" close=")" separator=",">        #{value}    </foreach></if>

这种方式最后处理的结果是这样的：

select * from table
where code in
(  
?
)

[" 123\") or true or(id=\""]

不会查询出所有的结果，避免了SQL注入。

 

所以，能用#{}就不要用${}了。