提示:这里可以添加本文要记录的大概内容:
例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。
提示:以下是本篇文章正文内容,下面案例可供参考
1. 当我们有多个Mapper接口进行查询时,如果只有查询的属性字段不同,会造成代码重复率较高
2. #{}:表示一个占位符 经过预编译就变成了 ? 占位符,SQL代码不会被恶意更改
使用#{}经过解析在SQL语句中为:
DEBUG [main] - ==> Preparing: select * from team where id=?
3. ${} 经过解析后变成了字符串数据,可以通过SQL注入进行恶意修改SQL
DEBUG [main] - ==> Preparing: select * from team where id=1
测试 /#{}:
1. Mapper接口
List<Team> queryByColumn(@Param("column") String column,@Param("columnValue") String columnValue);
2. Mapper映射文件
<select id="queryByColumn" resultType="com.mk.study.Team">
select * from team where ${column}=#{columnValue}
</select>
3. 测试
@Test
public void demo8(){
TeamDao mapper = MybatisUtil.getOpenSession().getMapper(TeamDao.class);
List<Team> lists = mapper.queryByColumn("id", "1");
lists.forEach(list -> System.out.println(list));
}
结果:
where 查询条件后 为 ? 占位符可以有效防止SQL注入
测试 ${}:
1. Mapper接口
List<Team> queryByColumn(@Param("column") String column,@Param("columnValue") String columnValue);
2. Mapper映射文件
<select id="queryByColumn" resultType="com.mk.study.Team">
select * from team where ${column}=${columnValue}
</select>
3. 测试
@Test
public void demo8(){
TeamDao mapper = MybatisUtil.getOpenSession().getMapper(TeamDao.class);
List<Team> lists = mapper.queryByColumn("id", "1");
lists.forEach(list -> System.out.println(list));
}
结果:
where 查询条件后为 1 数据,那么我们可以进行拼接SQL语句进行SQL注入,导数数据不安全
测试 ${} 和/#{} 下使用SQL注入
1. Mapper接口
List<Team> queryByColumn(@Param("column") String column,@Param("columnValue") String columnValue);
2. Mapper映射文件
<select id="queryByColumn" resultType="com.mk.study.Team">
select * from team where ${column}=${columnValue}
</select>
3. 测试
@Test
public void demo8(){
TeamDao mapper = MybatisUtil.getOpenSession().getMapper(TeamDao.class);
List<Team> lists = mapper.queryByColumn("id", "100 or 1=1");
lists.forEach(list -> System.out.println(list));
}
结果:
当我们在where查询条件后 拼接 一个 or 1=1 我们来看一下结果,本应该是查不到id=100,但是我们在后面拼接了SQL,查询结果把数据库中的数据全部查询出来,导致数据的不安全
1. Mapper接口
List<Team> queryByColumn(@Param("column") String column,@Param("columnValue") String columnValue);
2. Mapper映射文件
<select id="queryByColumn" resultType="com.mk.study.Team">
select * from team where ${column}=#{columnValue}
</select>
3. 测试
@Test
public void demo8(){
TeamDao mapper = MybatisUtil.getOpenSession().getMapper(TeamDao.class);
List<Team> lists = mapper.queryByColumn("id", "100 or 1=1");
lists.forEach(list -> System.out.println(list));
}
结果:查不出来数据,当查询时使用了 /#{} 的where条件是 where id=“1 or 1=1” 数据库表中属性字段id是不存在这个数据的
1. 当我们有多个Mapper接口进行查询时,如果只有查询的属性字段不同,会造成代码重复率较高
2. ${}还可以表示字符串原样替换,通知Mybatis 使用$包含的“字符串”替换所在位置。
1. 两个查询条件,发现除了查询的字段属性不同外,其余一模一样
select * from team where id=#{id}
select * from team where name=#{name}
2. 改进
3. Mapper接口
List<Team> queryByColumn(@Param("column") String column,@Param("columnValue") String columnValue);
4. Mapper映射文件
<select id="queryByColumn" resultType="com.mk.study.Team">
select * from team where ${column}=#{columnValue}
</select>
5. 测试
@Test
public void demo8(){
TeamDao mapper = MybatisUtil.getOpenSession().getMapper(TeamDao.class);
List<Team> lists = mapper.queryByColumn("id", "1");
List<Team> lists2 = mapper.queryByColumn("name", "张三");
System.out.println("id查询的数据");
lists.forEach(list -> System.out.println(list));
System.out.println("name查询的数据");
lists2.forEach(lists22 -> System.out.println(lists22));
}
结果:
我们发现 当我们查询条件改成 ${Column}=/#{ColumnValue}时,查询的字段随着我们的更改SQL也进行了更改
版权说明 : 本文为转载文章, 版权归原作者所有 版权申明
原文链接 : https://blog.csdn.net/m0_50677223/article/details/119508113
内容来源于网络,如有侵权,请联系作者删除!