怎样解决MyBatis中$符号带来的SQL注入风险_替换为#预编译占位符

怎样解决MyBatis中$符号带来的SQL注入风险？关键在于厘清场景

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

一提到MyBatis中的${}和SQL注入，很多人的第一反应是：“把它换成#{}不就行了？”

其实，这个想法恰恰是问题的开始。真相是：绝大多数情况下，${}不能直接“替换为”#{}——强行替换会导致SQL语法错误，程序根本跑不起来。真正的解决之道，在于搞清楚三个核心问题：哪些地方是误用了${}？哪些地方又不得不用${}？以及在那些必须用的场景下，如何守住安全底线。

哪些地方误用了${}？这是最常见的漏洞源头

生产环境里，绝大部分SQL注入漏洞都源于此。典型表现是：参数本应是纯粹的数据值（比如用户ID、搜索关键词、订单金额），却被错误地用${}拼接进了WHERE、INSERT或UPDATE子句中。

• 错误写法示例：WHERE name = '${name}' 或者 AND status = ${status}
• 后果有多严重？如果用户传入name="admin' OR '1'='1"，SQL就会变成WHERE name = 'admin' OR '1'='1'，直接导致全表数据泄露。
• 正确做法：统一改为WHERE name = #{name}和AND status = #{status}。
• 这里有个细节：#{}会自动处理类型，字符串会加引号，数字或布尔值会做对应转换，完全不需要手动拼接单引号。

哪些地方必须用${}？#{}真的无能为力

为什么不能全用#{}？因为它的底层是JDBC的PreparedStatement，所有参数都会被当作“值”来处理，并加上引号或进行类型绑定。而SQL语法中的某些部分，比如表名、字段名、ORDER BY后的排序方向、GROUP BY表达式，它们本身是“标识符”或“关键字”，绝对不能加引号，否则数据库会直接报语法错误。

• 动态表名（如分库分表）：FROM ${tableName}。如果写成FROM #{tableName}，就会变成FROM 'user_202604'，语法错误。
• 动态排序：ORDER BY ${sortField} ${sortOrder}。如果字段名用了#{}，会变成ORDER BY 'created_time'，字段名被当成字符串，排序失效。
• 动态分页的偏移量：LIMIT ${(page-1)*size}, #{size}。偏移量往往是个表达式，#{}不支持计算，而且偏移量作为数字也不能加引号。

必须用${}时，如何防御注入？白名单校验是唯一靠谱的方案

到了这一步，没有“银弹”。别指望靠过滤几个关键词或者转义单引号就能万事大吉，攻击面太广了（比如UNION SELECT、注释符--、内联注释/* */）。唯一能落地、真正有效的防御策略就是：只允许已知安全的输入。

• 对动态表名：在Ja va层定义合法的表名数组，比如String[] validTables = {"user", "order_202601", "order_202602"}，然后严格校验传入值是否在名单内：Arrays.asList(validTables).contains(tableName)。
• 对排序字段：使用枚举或Map进行映射。例如，建立一个映射关系：Map.of("ctime", "created_time", "utime", "updated_time")。前端只传递“ctime”这样的key，后端根据映射表转换为真实的数据库字段名。
• 对排序方向：强制限定只能为"asc"或"desc"，其他任何输入一律拒绝，或者提供一个安全的默认值（如"asc"）。
• 核心原则：绝对不要将用户原始的、未经检查的输入（无论是HTTP参数还是JSON字段）直接塞进${}里。这无异于给攻击者递上了一把打开数据库大门的钥匙。

模糊查询（LIKE）场景的典型陷阱与正确解法

这个场景非常典型。很多人为了图省事，会写成LIKE '%${keyword}%'，但这正是高危写法。正确的姿势是，让#{}承担传递值的责任，而通配符的逻辑交给数据库函数去处理。

• 错误的高危写法：WHERE title LIKE '%${keyword}%'。如果keyword="a%b' OR '1'='1"，注入将直接穿透。
• 推荐写法（MySQL）：WHERE title LIKE CONCAT('%', #{keyword}, '%')。
• 或Oracle写法：WHERE title LIKE '%' || #{keyword} || '%'。
• 关键点：通配符%由数据库的字符串连接函数（如CONCAT）包裹，用户输入的值始终通过#{}走预编译，完全不参与SQL字符串的拼接。

最后，还有一个极易被忽略的“坑”：MyBatis Generator等工具自动生成的XML代码中，片段和ORDER BY子句默认可能使用${}。很多人直接复制使用，却忘了补充白名单校验。记住，只要代码中间出现了${}，就必须问自己一句：这个值是完全由我控制的吗？如果答案是否定的，那么就必须在Ja va层加上一层严格的校验或映射转换。这才是守住安全防线的关键所在。