首页 博客列表 精选博客 每日焦点 关于我
mybatis-plus apply 防SQL注入,从零基础到精通,收藏这篇就够了!
发布日期:2025-04-14 09:06:27 浏览次数:11 分类:精选文章

本文共 2196 字,大约阅读时间需要 7 分钟。

MyBatis-Plus apply方法与SQL注入防护

apply方法的作用

MyBatis-Plus 的 apply 方法允许在查询条件中直接拼接自定义的 SQL 片段。例如:

QueryWrapper queryWrapper = new QueryWrapper<>();
queryWrapper.apply("date_format(create_time, '%Y-%m-%d') = {0}", "2023-10-01");

这里,{0} 是占位符,MyBatis-Plus 会自动将其替换为参数值,确保 SQL 安全。

SQL 注入风险

直接将用户输入拼接到 SQL 片段中可能导致严重的 SQL 注入风险。例如:

String userInput = "2023-10-01'; DROP TABLE user; --";
queryWrapper.apply("date_format(create_time, '%Y-%m-%d') = '" + userInput + "'");

生成的 SQL 可能变成:

date_format(create_time, '%Y-%m-%d') = '2023-10-01'; DROP TABLE user; --

这会导致 SQL 注入问题。

防止 SQL 注入的方法

方法 1:使用占位符和参数化查询

MyBatis-Plus 的 apply 方法支持占位符(如 {0}{1}),并会对参数进行转义,防止 SQL 注入。例如:

String safeDate = "2023-10-01";
queryWrapper.apply("date_format(create_time, '%Y-%m-%d') = {0}", safeDate);

生成的 SQL 是安全的:

date_format(create_time, '%Y-%m-%d') = '2023-10-01'
方法 2:使用 SqlInjectionUtils 检查输入

MyBatis-Plus 提供 SqlInjectionUtils 工具类,可以用于检测输入是否包含 SQL 注入风险。例如:

import com.baomidou.mybatisplus.core.toolkit.sql.SqlInjectionUtils;
String userInput = "2023-10-01'; DROP TABLE user; --";
if (SqlInjectionUtils.check(userInput)) {
    throw new IllegalArgumentException("输入包含非法字符");
}
queryWrapper.apply("date_format(create_time, '%Y-%m-%d') = {0}", userInput);
方法 3:避免直接拼接 SQL

尽量使用 MyBatis-Plus 提供的安全方法,如 eqlike 等,而不是直接拼接 SQL。例如:

queryWrapper.eq("date_format(create_time, '%Y-%m-%d')", "2023-10-01");

最佳实践

  • 始终使用占位符

    • 使用 {0}{1} 等占位符,而不是直接拼接字符串。

  • 验证用户输入

    • 对用户输入进行严格的验证和过滤,确保其符合预期格式。

  • 使用安全的 API

    • 尽量使用 MyBatis-Plus 提供的安全方法(如 eqlike 等),而不是直接拼接 SQL。

  • 定期检查代码

    • 定期检查代码中是否存在直接拼接 SQL 的情况,及时修复潜在的安全问题。

    • 安全使用 apply 方法示例

    QueryWrapper queryWrapper = new QueryWrapper<>();
    String safeDate = "2023-10-01";
    queryWrapper.apply("date_format(create_time, '%Y-%m-%d') = {0}", safeDate);
    List
       
         userList = userMapper.selectList(queryWrapper);

    不安全使用 apply 方法示例(不推荐)

    QueryWrapper queryWrapper = new QueryWrapper<>();
    String unsafeDate = "2023-10-01'; DROP TABLE user; --";
    queryWrapper.apply("date_format(create_time, '%Y-%m-%d') = '" + unsafeDate + "'");
    List
       
         userList = userMapper.selectList(queryWrapper);

    总结

    • apply 方法可以安全使用,但必须通过占位符和参数化查询来避免 SQL 注入。
    • 避免直接拼接 SQL,始终对用户输入进行验证和过滤。
    • 使用 MyBatis-Plus 提供的工具类(如 SqlInjectionUtils)来检查输入的安全性。
    • 遵循最佳实践,确保代码的安全性和可维护性。
    上一篇:mybatis-generator-maven-plugin:1.3.2:generate failed: Exception getting JDBC Driver: com.mysql.jdbc.
    下一篇:MyBatis-Plus CURD示例及条件构造器示例

    发表评论

    最新留言

    逛到本站,mark一下
    [***.202.152.39]2025年05月04日 00时29分53秒

    关于作者

        喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
    -- 愿君每日到此一游!

    推荐文章

    Mac下IDEA更换Maven仓库 2025-04-11
    Mac下MySQL 报错:Error1045(28000)解决办法 2025-04-11
    Mac下redis安装和启动 2025-04-11
    Mac下各种网络命令的使用 2025-04-11
    Mac下如何配置环境变量 2025-04-11
    Mac下安装jdk 2025-04-11
    Mac下安装PEAR 2025-04-11
    mac下安装配置nginx 2025-04-11
    Mac下忘记MySQL密码可以这样做! 2025-04-11
    Mac下配置多个SSH-Key (gitLab) 2025-04-11
    mac地址随机变化的解决方法(安卓手机通用)不用ROOT 2025-04-11
    Mac安装Maven 2025-04-11
    Mac实现远程服务器登录管理 2025-04-11
    mac常用命令 2025-04-11
    Mac打包dmg文件(更换背景图) 2025-04-11
    mac更新后 homestead 无法使用 2025-04-11
    mac环境安装docker 2025-04-11
    MAC生成公钥私钥、PKCS1 转 PKCS8 2025-04-11
    Mac电脑怎么读写不了移动硬盘?解决苹果电脑不能读写移动硬盘问题 2025-04-11
    Mac电脑生成git的公私钥(拉取代码更便捷) 2025-04-11
    白红宇的个人博客 - 记录点点滴滴的事 - 您是第 466852988 位访客
    访问时间: 2025-05-26 06:44:17 访问IP: 216.73.216.55     Copyright © 2020 - 2025 css8.cn 京ICP备2021015314号-1 手机版