ibatis中要增加一个排序功能
按照惯性思维增加了这样的代码
<isNotNull prepend="," property="orderColumn">
order by #orderColumn#
</isNotNull>
运行起来不符合预期
检查了生成了原始语句,发现组装成的SQL变成了
order by 'name'
在orderColumn参数前后加上了引号,所以会不成功。
如果改成 order by $orderColumn$ 的话,因为$符表示的是拼接字符串,所以就变成了order by name,这样执行是没有问题的,但是可能会形成sql注入漏洞,因为order by 后的传入参数可能为
orderColumn,(select if(substring(user(),1,2)='xx',sleep(4),-1)) 这个执行的效果为当数据库用户名为的前两位为xx时,挂起4秒(这个挂起是每条挂起4秒,也就是说如果有5条记录,那么会挂起20秒)。这样可能会被黑客攻击。
改进方法基本就两种,一种是在ibatis的xml中配置条件判断,比如参数为1时排序字段为A,为2时排序字段为B。
扫描二维码关注公众号,回复:
308834 查看本文章
<isNotNull property="model.orderType" >
<isEqual property="model.orderType" compareValue="0" prepend="ORDER BY" removeFirstPrepend="true">
BEGIN_TIME DESC
</isEqual>
<isEqual property="model.orderType" compareValue="1" prepend="ORDER BY" removeFirstPrepend="true">
APPLY_BEGIN_TIME DESC
</isEqual>
</isNotNull>
还一种就是在DAO层判断,判断传入的参数值,比如可以用正则表达式判断参数值是否为大小写字母+下划线。