Mybatis中的concat()函数是如何防止sql注入的 理解整理

前言： 刚开始接触Mybatis时，对于xml文件中的concat()函数的防止sql注入的使用不是太理解，现在终于搞明白的，其实不难理

CustomerMapper.xml文件下的 配置：

<!-- bind的测试 -->
	<select id="findCustomerByName1" parameterType="customer"
		resultType="customer">
		<bind name="parttern_username" value="username"/>		
		select * from t_customer where username like concat(%,#{
          
   parttern_username},%)
	</select>

测试方法：

@Test
	public void findCustomerByName1Test() {
          
   
		SqlSession sqlSession = MybatisUtils.getSession();
		
		Customer customer = new Customer();
		customer.setUsername("j");
//		customer.setUsername("j and 1 = 1");
		
		List<Customer> list = sqlSession.selectList("com.itheima.mapper.CustomerMapper.findCustomerByName1", customer);
		
		for (Customer customer2 : list) {
          
   
			System.out.println(customer2);
		}
		
		// 关闭sqlSession
		sqlSession.close();
		
	}

首先 运行这个语句：customer.setUsername(“j”); 即模糊查询 username中带有 字母"j" 的所有信息

查询结果：

因为我的数据库中只有是三条数据： 这说明是成功的，

接下来再简单的试一试sql注入的语句： customer.setUsername(“j and 1 = 1”);

显示：

尽管没有报错，但是没有查询到。

不难发现其实， 在上面的代码中，你始终传入的是一个 变量 value的值 ，所以说不管是你传入 “j” 还是传入 “j and 1 = 1” 都被认为是一个username的值,不会出现 把这一个语句分开的情况

补充： 同样的，这种形式 “’%’+username+’%’” 也是可以防止sql注入的，

<!-- bind的测试 -->
	<select id="findCustomerByName1" parameterType="customer"
		resultType="customer">
		<bind name="parttern_username" value="%+username+%"/>		
		select * from t_customer where username like #{
          
   parttern_username}
	</select>

防止sql注入，尽量不要使用 ‘%${value}%’ 这种形式的，原因其实和上面的类似，在存在sq注入的情况下他是可以直接，把你写的语句给看做是不同部分，分割来对待。