排序sql注入问题
作者:互联网
在mybatis中,我们在使用排序时会用order by 【需要排序的字段】ASC —生序(ASC可以省略不写,默认就是ASC)或order by 【需要排序的字段】DESC—降序
但是当我们使用mybatis的动态sql时,需要根据前端传输过来的值来进行对某个字段来进行生序或降序,order by后边需要传入两个值,一个需要排序的字段,另一个是ASC或DESC(降序或升序)。但是我们为了防止sql注入,会用#{字段}来放入参数,什么是sql注入呢,sql注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过sql语句,实现无帐号登录,甚至篡改数据库。#{}: 表示一个占位符号,实现向PreparedStatement占位符中设置值(#{}表示一个占位符?),自动进行Java类型到JDBC类型的转换(因此#{}可以有效防止SQL注入).#{}可以接收简单类型或PO属性值,如果parameterType传输的是单个简单类型值,#{}花括号中可以是value或其它名称。
例如下边的一条sql是为了防止sql注入:
// #{age}是传输进来需要排序的字段
// #{DESC}是对该字段进行降序
select name,age,sex,phone from people order by #{age} #{DESC}
这时运行代码生成的sql是这样子:
select name,age,sex,phone from people order by 'age' 'DESC'
使用#来防止sql注入,参数是带有单引号的,看下运行结果其实是没有做排序的。
解决方案1:
将#改为$,当然,这样是不会防止sql注入的,相别#而言这样传参不会带有单引号,但是可以解决我们排序的问题
// ${age}是传输进来需要排序的字段
// ${DESC}是对该字段进行降序
select name,age,sex,phone from people order by ${age} ${DESC}
这时运行代码生成的sql是这样子:
select name,age,sex,phone from people order by age DESC
解决方法2:
使用PageHelper来进行排序,使用方法很简单
在maven中引入依赖
<!-- https://mvnrepository.com/artifact/com.github.pagehelper/pagehelper -->
<dependency>
<groupId>com.github.pagehelper</groupId>
<artifactId>pagehelper</artifactId>
<version>5.1.2</version>
</dependency>
使用步骤
// 需按自己的需求来拼接
String orderBy="字段名 排序规律";
PageHelper.startPage(pageNum, pageSize, orderBy);
PageHelper不单单有这些功能,感兴趣可以搜下PageHelper的使用
标签:age,降序,注入,sql,排序,order,DESC 来源: https://blog.csdn.net/weixin_44265425/article/details/121526769