当前位置：首页 > news >正文

springboot+mybatis或mybatisplus在进行%name%的前后模糊查询时如何放防止sql注入

news 来源：原创 2025/5/20 7:04:34

在使用 Spring Boot 配合 MyBatis 或 MyBatis-Plus 进行数据库操作时，确保防止 SQL 注入是非常重要的。对于 %name% 样式的前后模糊查询，以下是几种有效的方法来防止 SQL 注入：

1. 使用 MyBatis 的 `<if>` 标签和 `#{}` 占位符

MyBatis 默认情况下使用 #{} 来绑定参数，这种方式会自动处理参数，避免了直接拼接 SQL 字符串导致的注入风险。

<select id="selectByName" parameterType="java.lang.String" resultType="YourResultType">SELECT * FROM your_table WHERE name LIKE CONCAT('%', #{name}, '%')
</select>

这里，#{name} 会将传入的参数安全地绑定到 SQL 查询中，避免 SQL 注入。

2. 使用 MyBatis-Plus 的 Wrapper 类

MyBatis-Plus 提供了多种方式构建查询条件，其中最常用的是通过 QueryWrapper 或者其他类似的 Wrapper 类。

QueryWrapper<YourEntity> queryWrapper = new QueryWrapper<>();
queryWrapper.like("name", name);
yourMapper.selectList(queryWrapper);

在这种情况下，like() 方法内部已经处理好了防止 SQL 注入的问题。

3. 使用 `script` 标签与 `CDATA`

如果你需要更复杂的逻辑，可以考虑使用 <script> 标签结合 CDATA 来编写动态 SQL。但请注意，这种情况下仍需谨慎处理用户输入。

<select id="selectByName" parameterType="java.lang.String" resultType="YourResultType"><script>SELECT * FROM your_table WHERE <![CDATA[name LIKE CONCAT('%', #{name}, '%')]]></script>
</select>

虽然这种方法允许更多的灵活性，但它也增加了复杂性，因此应该仔细检查所有可能的输入路径以确保安全性。

4. 使用 `<bind>` 标签进行模糊查询

假设我们有一个需求：根据用户提供的 name 参数执行一个前后模糊匹配的查询。下面是如何使用 <bind> 标签来实现这一功能的安全示例。

示例代码

<select id="selectByName" parameterType="map" resultType="YourResultType"><bind name="pattern" value="'%' + name + '%'" />SELECT * FROM your_table WHERE name LIKE #{pattern}
</select>

在这个例子中：

<bind> 标签创建了一个名为 pattern 的新变量，其值是通过将 % 添加到 name 参数的两端形成的。
在 SQL 查询中，我们使用了 #{pattern} 来引用这个新变量，这样 MyBatis 就会安全地将它作为参数传递给 JDBC 预编译语句，从而避免 SQL 注入的风险。

通过这种方式，你可以利用 MyBatis 的 <bind> 标签来构建更灵活且安全的查询条件，同时有效地防止 SQL 注入。

5. 参数预编译

无论是 MyBatis 还是 MyBatis-Plus，都支持预编译语句（Prepared Statements），这是防止 SQL 注入的有效手段之一。如前所述，使用 #{} 占位符实际上就是利用了 JDBC 的 PreparedStatement 特性，它能够自动转义特殊字符，从而防止 SQL 注入攻击。

6. 对输入进行验证

除了上述技术外，还可以对用户输入的数据进行验证和清理。例如，限制输入长度、过滤掉不必要的字符等。不过，这通常作为额外的安全层，并不能完全替代上述方法。

注意事项

避免使用 ${}：与 #{} 不同，${} 直接将变量值插入到 SQL 中，容易导致 SQL 注入。
保持依赖更新：确保使用的 MyBatis 和 MyBatis-Plus 库是最新的版本，因为新版本可能会修复已知的安全漏洞。

通过以上几种方式，可以有效地防止在执行 %name% 样式的前后模糊查询时发生 SQL 注入问题。选择哪种方法取决于具体的业务需求和技术栈的选择。

为什么不能直接like’%#{name}%’

直接在 MyBatis 的 SQL 映射文件中使用 like '%#{name}%' 这种方式是不推荐的，主要原因在于这种方式实际上并不会按照预期那样工作。这里有几个关键点解释了为什么不能直接这样使用：

1. 字符串拼接问题

当你尝试这样写时：

<select id="selectByName" parameterType="java.lang.String" resultType="YourResultType">SELECT * FROM your_table WHERE name LIKE '%#{name}%'
</select>

这里的 #{name} 实际上会被 MyBatis 替换为一个参数占位符，并最终通过 JDBC 的 PreparedStatement 来设置该参数值。这意味着 % 和 #{name} 会被当作两个独立的部分处理，而不是作为一个完整的字符串。

2. 无法正确应用百分号通配符

由于 #{} 被设计用来安全地传递参数值到 SQL 查询中，它不会自动将你想要的百分号(%)作为通配符的一部分来处理。换句话说，'%#{name}%' 在执行时会试图寻找实际包含百分号字符的数据，而非将其作为 SQL 中的通配符使用。

3. 正确的做法

为了实现前后模糊查询，你需要确保百分号是在传入数据库之前就已经添加到了搜索词的两边。以下是几种正确的方法：

方法一：在 SQL 中使用 CONCAT 函数（适用于 MySQL）

<select id="selectByName" parameterType="java.lang.String" resultType="YourResultType">SELECT * FROM your_table WHERE name LIKE CONCAT('%', #{name}, '%')
</select>

方法二：在传入参数前手动添加百分号（Java 端处理）

String searchName = "%" + name + "%";
yourMapper.selectByName(searchName);

然后，在你的 MyBatis XML 映射文件中只需简单地使用 #{name}：

<select id="selectByName" parameterType="java.lang.String" resultType="YourResultType">SELECT * FROM your_table WHERE name LIKE #{name}
</select>

这两种方法都能确保百分号被正确地识别为 SQL 中的通配符，同时保持了对 SQL 注入的安全防护，因为实际的用户输入仍然通过 #{} 安全地绑定到查询中。

总结

直接在 MyBatis 的 SQL 映射文件中使用 like '%#{name}%' 是不可行的，因为它不能正确地将百分号作为通配符处理。
正确的做法是利用 SQL 函数如 CONCAT 或者在 Java 端预先拼接好带有百分号的字符串，再通过 #{} 占位符安全地传递给 SQL 查询。这样既能达到前后模糊匹配的效果，又能有效防止 SQL 注入攻击。