MyBatis Mapper中必须使用$导致SQL Injection 如何修复

在某些特定情况下，你可能确实需要在MyBatis Mapper中使用 $ 符号进行动态SQL拼接，这可能会导致SQL注入的风险。如果你必须使用 $ 符号，并且无法避免SQL注入问题，以下是一些可以降低风险的策略：

1. 手动转义特殊字符：
   在将用户输入的数据插入到SQL语句之前，手动转义或替换可能用于SQL注入的特殊字符，如单引号、双引号、分号、注释符号等。

   String escapedInput = userProvidedInput.replace("'", "''").replace("\"", "\\\"");
   

2. 使用MyBatis的OGNL表达式进行过滤和验证：
   如果你的输入是一个复杂对象，你可以使用OGNL（Object-Graph Navigation Language）表达式来访问对象属性，并在访问时进行一些基本的过滤和验证。

   <select id="selectUser" parameterType="map" resultType="User">
     SELECT * FROM users WHERE username = #{user.username}
   </select>
   

   在这个例子中，假设user是一个包含username属性的对象，MyBatis会自动调用其getter方法并进行类型转换。

3. 使用MyBatis的 <bind> 元素：
   在Mapper的 <select>、<insert>、<update> 或 <delete> 标签之前，可以使用 <bind> 元素来预处理参数。

   <select id="selectUser" parameterType="map" resultType="User">
     <bind name="escapedUsername" value="'%' + ${username} + '%'" />
     SELECT * FROM users WHERE username LIKE #{escapedUsername}
   </select>
   

   在这个例子中，我们使用 % 符号对用户名进行模糊匹配，并在传递给SQL语句之前添加了引号。

4. 使用自定义拦截器或插件：
   你可以创建一个自定义的MyBatis拦截器或插件，在执行SQL语句之前对所有使用 $ 符号的参数进行额外的安全检查和转义。

5. 后端业务逻辑验证：
   在将数据传递给MyBatis之前，确保在后端业务逻辑层进行了充分的验证和过滤，以减少恶意输入到达数据库的可能性。

请注意，虽然这些方法可以降低SQL注入的风险，但它们并不能完全消除风险。最佳实践仍然是尽可能使用 #{} 参数占位符，并确保在应用程序的其他层面上也实施严格的输入验证和安全措施。