本文共 1114 字，大约阅读时间需要 3 分钟。

0.SQL注入攻击简介及#{}与${}的对比

在软件开发中，数据安全始终是关键任务之一。特别是在 处理动态输入数据时，防止SQL注入攻击至关重要。常见的两种参数传递方式：#{}和${}，各有优劣，以下从实际应用中总结了两种方式的特点及适用场景。

989

${}原文传值类似于JSP的EL表达式，在MyBatis中可能导致严重的SQL注入风险。这种方式直接将来自前台输入的raw string代入SQL语句中，没有对特殊字符进行转义处理。理论上，这种方式在以下场景中有所应用：

• 需要根据不同的条件动态改变SQL语句
• e.g., 根据前台输入的order条件（如goods.xml中定义的字段）生成排序SQL

然而，使用${}方式存在以下风险：

• 如果SQL语句被直接拼接，不经过预编译，则可能导致数据泄露
• 前台输入的参数可能包含恶意代码，导致攻击者获取敏感信息或破坏数据库

因此，虽然${}方式在特定场景下有用，但不建议在大多数情况下使用。除非在调用的程序中，参数是基于固定（如代码中定义的）字段进行操作，而不是直接接收外部输入的值。

下面以实际案例进一步说明问题：

以上面的示例集思考过程：

答案：

传统的预编译方式需要程序在执行时，根据需要生成最终的查询语句。在大多数开发框架中，预编译的方式可以有效防止SQL注入问题。

489

использов 说明：

使用${}的方式，您需要在不经过预编译的情况下，直接实现字段的取值，可能导致SQL语句被拼接而非执行。

扩展思考：

在实际项目中，当需要根据不同的条件动态生成SQL语句时，如果前台输入的字段（如表单中的搜索参数）需要程序自动转换为相应字段进行排序或过滤时，确实需要使用${}方式。

但是，必须确保前台输入的参数不会直接以字符串形式出现在实际的SQL中。在代码中，应确保参数仅用于选择正确的预编译好的SQL句柄。

举个例子：

假设系统的goods表有多个字段，每个字段对应不同的排序方式。用户可以选择排序字段。则，根据用户选择的字段，调用相应的预编译SQL语句即可。

这是为什么${}方式在特定场景下必要的原因。而且，只有在参数是通过程序中安全定义的值调用时，才不会引发SQL注入风险。

但如果用户直接输入字段名称，且前台输入字段可能包含恶意字符（如OR，AND等），则必须确保程序中的逻辑和输入无关渠道，从而避免潜在风险。

总结：

• 在大多数情况下，使用预编译方式即#{...}是最佳选择。
• 当需要根据动态参数调用不同的预编译SQL语句时，才需要考虑${}方式。
• 在使用${}方式时，参数输入必须仅来自于程序内部，确保安全性。