在我一个项目中,dao层用的mybatis-plus,由于查询条件由用户随机选择组合,所以xml用了<if test="">来拼接查询条件。先说说场景吧,开始有3个条件随机组合,也就是xml里有3个<if test="">,其中最后一个条件是like模糊查询,项目上线没有任务问题,后来业务变更,把第二个<if test="">的也改成模糊查询。
如下图:catName是模糊查询,在xml拼接%,现在业务变更,要把第二个条件catAddr这个也改成like模块查询。
这个一看比较简单,就按照第三个条件修改就行了呗,第二个条件改成了
t.cat_addr like '%'||#{catAddr}||'%'
结果问题出现了,当查询条件catAddr和catName同时出现时,会报sql注入
日了鬼了~~~~~~~~~
啥情况!!!
原来,当在xml中like模糊查询拼接%时,当模糊查询条件拼接在中间时(like后面还有查询条件, 例如:select * from tab_cat where cat_age='18' and cat_addr like '%北京' and cat_name like '%花'),mybatis认为存在sql注入。如果模糊查询like出现在where最后,是没有问题的。
解决办法也简单,把所有的like模糊查询拼接%放点java代码,不要在xml拼接就行了。
java里的拼接%如下:
params.put("catAddr","%"+catName+"%");//params是一个map
以前项目写代码基本都是在java代码中拼接%,也没想过为什么,直到这次遇到这件事,才发现是有原因的。记录下事情经过,既告诫自己也提醒下其他小伙伴吧