mybatis动态表名防注入的方法是什么 - 问答

MyBatis提供了防止动态表名注入的方法，可以通过使用动态SQL和参数替换来实现。

使用动态SQL：在SQL语句中使用动态标签，如<if>、<choose>、<when>、<otherwise>等，根据条件判断来拼接表名。例如：

<select id="selectUserById" resultType="User">
  SELECT * FROM
  <choose>
    <when test="tableType == 'A'">
      table_A
    </when>
    <when test="tableType == 'B'">
      table_B
    </when>
    <otherwise>
      table_C
    </otherwise>
  </choose>
  WHERE id = #{id}
</select>

使用参数替换：将表名作为参数传递给SQL语句，通过参数替换的方式来防止注入。例如：

<select id="selectUserById" resultType="User">
  SELECT * FROM #{tableName}
  WHERE id = #{id}
</select>

在Java代码中，将表名作为参数传递给MyBatis的方法：

String tableName = "table_A";
int id = 1;
User user = sqlSession.selectOne("selectUserById", Collections.singletonMap("tableName", tableName));

通过这种方式，可以确保表名是从可信来源获取，避免了直接拼接表名导致的注入风险。

0 赞

0 踩