mybatis传入表名为参数/拼接SQL

最新推荐文章于 2025-07-01 10:47:54 发布
原创 最新推荐文章于 2025-07-01 10:47:54 发布 · 3.9k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mybatis表名为参数 #拼接sql #sql注入

Context

现在有8个表,都有相同的两列。
需求就是选择 表&id,修改对应行的列值
8个表诶,两个操作就要写16个sql,还要判断枚举值选择不同的Dao,返回不同的实体…
啊,真的是太麻烦了。。要写这么多重复的代码,那一定会有更好的方法

show time~

  • select
    查操作要简单很多,参数是表名和id
    我们可以用${}传入表名,statementType="STATEMENT"在预编译前把SQL拼接好
<select id="selectTaskTable" resultMap="rasSqlAssistMap" statementType="STATEMENT">
       select id, columnName1, columnName2 from ${tableName} where id = ${id}
   </select>

踩坑1一开始我写的是"where id = #{id}",但编译出来是"where id = "
如果设置了非预编译,就不能再使用#{}了,都要统一用${}
因为#{}的变量替换是在预编译阶段,在SQL解析阶段是显示不出来的

  • update
    更新操作就麻烦很多了,因为更新的列不确定(两个列不一定都更新)
    踩坑2
    我本来想传入Map然后用判空,还是上面的坑,这些动态sql在解析阶段是解析不出来的,编译完set中间一片空白。。
<update id="updateByTableName" parameterType="String" statementType="STATEMENT">
		update ${tableName}
        <set>
            <if test="columnName1 != null and columnName1 != ''">
                columnName1 = ${property1},
            </if>
            <if test="columnName2 != null and columnName2 != ''">
                columnName2 = ${property2},
            </if>
        </set>
        where id = ${id}
        -->
    </update>

但是不要放弃,懒还是要偷的
那我们在代码里拼接sql吧

		StringBuilder sql = new StringBuilder();
        sql.append("update "+ tableName +" ");
        if (columnName1 != null && columnName2 != null){
            sql.append("set columnName1 = \"");
            sql.append(columnValue1);
            sql.append("\"");
            sql.append(", columnName2 = \"");
            sql.append(columnValue2);
            sql.append("\"");
            sql.append(" where id = \"");
            sql.append(id);
            sql.append("\"");
         }

mapper:

	<update id="updateByTableName" parameterType="String">
        ${value}
    </update>

把sql.toString()传进去就好啦~
拼接完是这样的:
"update tableName set columnName1 = “19”, columnName2 = “1” where id = “133"”
完美解决问题~

#与$的区别

比如

select id, columnName1, columnName2 from tableName where id = #{id}
//编译完
select id, columnName1, columnName2 from tableName where id =
  1. #{}
    被解析为一个参数占位符?
    预编译阶段向占位符中注入值
    将传入的参数当成字符串,会给参数加上"",预编译阶段自动进行Java类型和jdbc类型转换
select id, columnName1, columnName2 from tableName where id = ${id}
//在预编译前完成
select id, columnName1, columnName2 from tableName where id = 133
  1. ${}
    会在预编译前拼接好sql
    不会加上"",所以有sql注入的危险,使用要慎重

不听话的实习僧日常:
懒是促进发展的源泉

Mybatis 将table作为参数传入
默默不代表沉默
03-10 7817
使用 $ 符 如在mapper.xml里面的使用: 在mapper层就把这个当做普通的参数传入即可: 同理,其实如果真的使用了$ ,在不考虑安全的范畴里面,也可以把一些手动拼接sql语句作为参数传入。 ...
项目实训记录(十三)——mybatis中将数据库当作参数
pinkray_c的博客
06-07 2339
mybatis中#和$的区别
mybatis动态调用和字段
weixin_34175509的博客
10-12 2782
     以后慢慢启用个人博客:http://www.yuanrengu.com/index.php/mybatis1021.html   一直在使用Mybatis这个ORM框架,都是使用mybatis里的一些常用功能。今天在项目开发中有个业务是需要限制各个用户对某些里的字段查询以及某些字段是否显示,如某张的某些字段不让用户查询到。这种情况下,就需要构建sql来动态传入、字段了。现在对解...
MybatisPlus动态拼接sql和动态配置
最新发布
qq_58964360的博客
07-01 444
参数添加 @Param(“alias”) String alias, @Param(“operator”) LogicOperatorEnum operator,动态配置和逻辑运算符。添加数据权限过滤器,根据方法参数值动态设置,以及动态设置拼接的逻辑运算符。并且如果方法参数没传值的话,是可以用注解里的固定属性的,实现灵活配置。最近有个需求,需要支持动态配置和动态逻辑拼接,我是使用mybatis-plus+SpringSecurity完成的。首先自定义注解@DataColumn。
mybatis 做为参数
qq_42058242的博客
02-02 933
mybatis传递参数有两种方式 #{param} 这种传递的是带双引号的变量 ${param} 这种传滴的是字面量 比如 tab = tb_user select * from #{tab} 就会被解释成 select * from 'tb_user' 这样肯定是不对的,sql语句中的不应该加双引号 所以应该写成 select * from ${tab} ${}会直接翻译不加引号,就会解释成正确的sql语句 select * from tb_user ...
mybatis中将数据库或列当作参数
风起尘落的博客
06-12 3016
1.操作方式: 在mybatis xml中使用 ${列/} 而不是 #{列/} 说明:${} 只是简单的字符串替换,#{}则是预编译。 2.产生问题: 问题:${}会产生sql注入问题。 解决方式: 1.如果只是select 语句 ,可以在service方法中添加@Transactional(readOnly = true) (只读事务),也可以在service方法中限制列的范围。 2.如果是in...
Mybatis 参数拼接 #{} 和 ${}
ybbgrain的历程
12-29 1124
概述 在服务的使用"%"+target+"%"这种方式直接拼接参数上面会有SQL注入的风险,但是在sql层面取拼接参数就不会。 mybatis拼接参数使用方式 like concat(concat("%",#{districtName}),"%")
mybatis 动态sql参数传递
12-14
在实际开发过程中,我们往往需要编写复杂的SQL语句,拼接稍有不注意就会导致错误,Mybatis给开发者提供了动态SQL,大大降低了拼接SQL导致的错误。 动态标签 if标签 if标签通常用那个胡where语句,update语句,insert...
Mybatis动态调用和字段的解决方法
09-01
注意,由于使用了`${}`,你需要确保传入和字段是安全的,并且在传入字段时,如果它是字符串,记得在传入参数前加上单引号,以避免SQL注入问题,例如`String columnName = "'" + columnName + "'"`。...
Mybatis防止sql注入的实例
08-30
我们可以看到,输入参数sql拼接的部分,传入参数后,打印出执行的sql语句,会看到sql是这样的:select id,title,author,content from blog where id = ?不管输入什么参数,打印出的sql都是这样的。这是因为...
Mybatis动态拼接sql
a50095949的博客
09-20 419
其中doubleList为List<List<>>类型。可以使用index来灵活拼接
mybatis 动态传入作为参数示例
lakelise的专栏
07-10 5581
物理称 作为参数 传入 mybatis xml 文件,动态加载sql
mybatis作为参数必须用$
weixin_43492798的博客
08-27 1209
用#会变成’xx_xxx’
mybatis中编写sql语句作为参数注意
Carrot_ly的博客
06-14 713
其中#{tablename}被引入sql语句后是一个带引号的字符串,最终执行的sql语句将会是SELECT COUNT(1) FROM 'xxxxx';被双引号包裹,会报错;
Mybatis拼接参数和字符串
JonyM的博客
08-25 2971
concat(#{param},’,’)
Mybatis如何拼接动态 以及#{}和${}的具体使用情况
热门推荐
小先生编程
05-28 1万+
mapper.java 文件 public Gpsinfo selectGpsByPlateNo(@Param(“tableName”)String tableName,@Param(“plateNo”)String plateNo); #{}与${}的区别可以简单总结如下: 1. #{}将传入参数当成一个字符串,会给传入参数加一个双引号 2. KaTeX parse error: Ex...
mybatis
ne_123456的博客
06-05 512
什么是框架:框架就是别人搭建好的某些功能,你只需要引用该框架并加入自己的业务代码。 好处: 提高我们的开发效率。 MyBatis本是apache的一个开源项目iBatis,2010年这个项目由apache software foundation迁移到了google code,并且改名为MyBatis。2013年11月迁移到Github。iBATIS一词来源于“internet”和“abatis”的组合,是一个基于Java的持久层框架。iBATIS提供的持久层框架包括SQL Maps
Mybatis
qq_55674489的博客
02-07 255
原是Apache的一个开源项目iBatis, 2010年6月这个项目由Apache Software Foundation 迁移到了 Google Code,随着开发团队转投Google Code 旗下, iBatis3.x正式更名为MyBatisMyBatis 是一款优秀的持久层框架。
Java 中,mybatis当做参数传递时,怎么避免SQL注入的风险
03-26
<think>好的,我现在需要帮助用户解决在MyBatis中动态传递时如何避免SQL注入的问题。首先,我得回忆一下MyBatis中#{}和${}的区别。根据用户提供的引用内容,特别是引用[1]和[3],知道#{}是预编译处理,能有效防止SQL注入,而${}是直接拼接字符串,存在注入风险。但动态这种情况,用户可能无法使用#{},因为不能作为预编译参数,这时候必须用${},但需要找到安全的方法。 接下来,我需要考虑用户提到的动态使用场景。比如,可能需要根据不同的业务逻辑切换不同的,这时候作为变量传入。但直接使用${tableName}会有风险,因为如果tableName来自用户输入且未经验证,攻击者可能注入恶意代码。 根据引用[4],用户需要在使用${}时确保安全性。可能的解决方案包括白单验证、参数校验和结合其他安全措施。比如,在传入前,先检查该是否存在于数据库的合法中,或者是否符合特定的命规则,比如只允许字母、数字和下划线,并且长度限制。 然后,我需要整合这些思路。首先,验证是否合法,可以通过正则达式检查输入是否符合预期的模式,例如只包含特定字符。其次,使用白单机制,确保传入只能是预定义的几个选项,这样即使使用${},也只能选择允许的,从而避免注入。 此外,可能还需要在业务层进行额外的校验,比如查询数据库的元数据,确认该确实存在,避免使用不存在的导致错误。引用[2]提到动态传入和字段时需要注意动态SQL的处理,而引用[4]则强调在这种情况下需要修复漏洞,所以结合这两点,确保在必须使用${}时,通过严格校验来保证安全。 另外,用户可能想知道最佳实践是什么。最佳实践应该包括:尽可能使用#{},在必须用${}时进行严格的输入验证和白单控制,同时结合其他安全措施如日志记录和权限最小化。 最后,总结这些步骤,给出一个结构清晰的回答,涵盖问题分析、解决方案、示例代码以及注意事项。同时,根据用户要求生成相关问题,比如如何验证、其他安全措施等。</think>在MyBatis中动态传递时,需通过严格的安全控制避免SQL注入风险。以下是具体实践方案: --- ### 一、问题分析 1. **${}的风险**:直接使用`${tableName}`会导致SQL注入,因为MyBatis会原样拼接字符串,如`SELECT * FROM ${table}`若`table`值为`user; DROP TABLE user`会引发灾难[^4]。 2. **#{}的局限**:预编译占位符`#{}`无法用于、字段SQL结构部分[^2]。 --- ### 二、解决方案 #### 1. 白单验证(核心措施) - **实现逻辑**:仅允许预定义的合法 - **代码示例**: ```java public String getSafeTableName(String input) { Set<String> allowedTables = new HashSet<>(Arrays.asList("user", "order", "product")); if (!allowedTables.contains(input)) { throw new IllegalArgumentException("非法"); } return input; } ``` ```xml <select id="selectData" resultType="map"> SELECT * FROM ${getSafeTableName(tableName)} </select> ``` #### 2. 正则达式过滤 - **强制命规范**:例如只允许字母、数字和下划线 ```java if (!tableName.matches("^[a-zA-Z0-9_]+$")) { throw new SQLException("非法格式"); } ``` #### 3. 数据库元数据校验 - **动态查询系统**:验证是否存在 ```xml <select id="validateTableExists" resultType="int"> SELECT COUNT(*) FROM information_schema.tables WHERE table_name = #{tableName} </select> ``` #### 4. 参数校验 - **加密哈希验证**:通过HMAC验证参数完整性 ```java String signature = HmacUtils.hmacSha256Hex(secretKey, tableName); if (!signature.equals(requestSignature)) { throw new SecurityException("参数被篡改"); } ``` --- ### 三、完整实践示例 ```java // Service层 public List<Map> queryDynamicTable(String tableName, String sign) { validateTableName(tableName); // 白单+正则校验 verifySignature(tableName, sign); // HMAC验证 return mapper.selectDynamicTable(tableName); } // XML映射 <select id="selectDynamicTable" resultType="map"> SELECT * FROM ${validatedTableName} </select> ``` --- ### 四、防御增强措施 1. **权限隔离**:数据库账号配置最小权限,禁止DDL操作 2. **日志监控**:记录所有动态操作日志 3. **输入规范化**:统一转为小写再校验(防止大小写绕过) 4. **防御纵深**:结合WAF进行请求过滤 --- ### 五、性能优化建议 1. **缓存白单**:将合法缓存至Redis,定期更新 2. **预编译语句池**:对高频使用的动态创建预编译缓存 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值