引言

最近在项目开发中遇到一个问题，项目中使用的的MyBatis的排序功能被安全部门扫描出了SQL注入安全隐患，查看安全报告说是有一个接口中存在SQL注入的安全漏洞，检查后发现是因为该接口中的排序功能使用了的MyBatis中的$ {}。

#{}与$ {}的区别

默认情况下，使用#{}格式的语法会导致MyBatis的创建的PreparedStatement参数并安全地设置参数(就像使用?一样)。这样做更安全，更迅速，通常也是首选做法，不过有时你就是想直接在SQL语句中插入一个不转义的字符串。比如，像ORDER BY，你可以这样来使用：ORDER BY $ {COLUMNNAME}。这里的MyBatis不会修改或者转义字符串。

解决方案

1#{}能处理吗?

一开始想着既然#{}可以防止SQL注入，也可以设置参数，那么就试试。先看看SQL客户端的执行情况

测试表中只有四行记录，默认顺序如上图，使用排序语句select * from tb_oder order by age;查询结果如下

sql默认的排序是asc，也就是升序。那么我修改sql语句为select * from tb_oder order by'agers';执行如何?

排序失效。我再次修改sql为select * from tb_oder order by`age`;执行结果为

排序成功，就是说这个引号是可以使用的然后我加上降序标识查询，结果如下：

查询成功

现在看看的MyBatis的#{}的实现：

结果并未排序，原因就是上面的第三种情况。

2.解决方案

项目中已经有多处mapperXML文件中使用了$ {}，需要写一个通用的方式完成排序，且支持多字段不同顺序的排序。这时的MyBatis插件功能就用上了。

3.pageHelper排序实现

引用坐标：

<dependency>
   <groupId>com.github.pagehelper</groupId>
   <artifactId>pagehelper</artifactId>
   <version>4.1.0</version>
</dependency>

在你要排序的select mapper语句前调用形如PageHelper.orderBy(“age desc，name”)即可;

源码如下

动力节点在线课程涵盖零基础入门，高级进阶，在职提升三大主力内容，覆盖Java从入门到就业提升的全体系学习内容。全部Java视频教程免费观看，相关学习资料免费下载!对于火爆技术，每周一定时更新!如果想了解更多相关技术，可以到动力节点在线免费观看MyBatis视频教程学习哦!