MyBatis-Plus 防止 SQL 注入最佳实践指南
🚫 MyBatis-Plus 防止 SQL 注入最佳实践指南
作者:William Dawson
标签:Java、MyBatis-Plus、安全、SQL 注入、防护
💥 什么是 SQL 注入?
SQL 注入是一种常见的安全漏洞,攻击者通过恶意构造 SQL 输入参数,干扰原有查询逻辑,进而非法访问、修改、甚至删除数据库内容。
举个例子:
SELECT * FROM user WHERE name = '' OR '1'='1'
这种语句如果没有做输入过滤,就可能返回整个用户表。
🛡 MyBatis-Plus 如何应对 SQL 注入?
MyBatis-Plus(简称 MP)在设计上遵循 MyBatis 的安全原则,默认会将参数作为预编译处理(使用 ? 占位符绑定参数),对常见的注入场景已经有良好的防护能力。
但!开发者自己拼接 SQL 或处理字段名时,仍然可能埋下安全隐患。
✅ 正确使用 MP 防注入的 5 个实战技巧
1️⃣ 永远使用 #{},而不是 ${}
// ❌ 有风险(拼接字符串)
@Select("SELECT * FROM user WHERE name = ${name}")// ✅ 推荐(参数绑定)
@Select("SELECT * FROM user WHERE name = #{name}")
#{}是预编译参数,自动处理 SQL 注入
${}是直接拼接字符串,完全不安全!
2️⃣ 优先使用 Wrapper 条件构造器
MyBatis-Plus 提供的 QueryWrapper 和 LambdaQueryWrapper 是构建查询语句的利器,自动处理参数绑定,避免手动拼接 SQL。
QueryWrapper<User> wrapper = new QueryWrapper<>();
wrapper.eq("username", username); // 自动参数绑定userMapper.selectList(wrapper);
3️⃣ 使用 Lambda 表达式防止拼接字段名
// ✅ 推荐
LambdaQueryWrapper<User> wrapper = new LambdaQueryWrapper<>();
wrapper.eq(User::getUsername, username);
Lambda 方式能避免拼接字段名带来的注入风险,也能在字段名变更时自动更新。
4️⃣ 对动态字段 / 排序字段做白名单校验
// 用户传入排序字段
String sortField = "price"; // 比如来自前端参数// ✅ 白名单验证
List<String> allowedFields = Arrays.asList("price", "create_time", "sales");
if (!allowedFields.contains(sortField)) {throw new IllegalArgumentException("非法字段!");
}queryWrapper.orderByAsc(sortField);
任何“用户可控的 SQL 结构部分”(如字段名、表名)都需要你手动过滤!
5️⃣ 避免拼接完整 SQL
// ❌ 高危操作
String sql = "SELECT * FROM user WHERE " + userInput;
可以考虑使用 XML 配置 + #{} 参数绑定 或 Wrapper 来组合条件。
🚨 特殊场景警告
- ⚠ 动态 SQL、批量查询
IN (${ids})中使用${}特别容易出问题 - ⚠ 条件字段、排序字段、表名、列名:不要从用户输入直接拼接
- ⚠ 不要相信前端传来的所有参数
🔒 额外建议
- ✅ 使用 ORM 框架本身的构建器(Wrapper / Lambda)
- ✅ 所有用户输入参数都进行正则或白名单校验
- ✅ 使用数据库账户权限控制,限制写/删权限
- ✅ 配合使用代码审查工具(如 SonarQube)检查 SQL 风险
📌 总结
| 防护点 | 是否安全 | 建议做法 |
|---|---|---|
使用 #{} | ✅ | 安全,使用参数绑定 |
使用 ${} | ❌ | 高风险,避免使用 |
条件构造器 Wrapper | ✅ | 推荐使用,自动处理绑定 |
| 拼接字段名 / 排序字段 | ⚠ | 使用白名单验证 |
| 拼接完整 SQL 语句 | ❌ | 尽量避免,转为 XML 或 Wrapper 构建 |
📚 推荐阅读
- MyBatis-Plus 官方文档
- OWASP SQL Injection 指南
- Java Web 安全编码规范
想要构建高质量、安全的 Java 后台系统,安全从参数开始,MyBatis-Plus 是你的好帮手,但“防注入”的责任仍然在开发者手中。
如果你喜欢这篇文章,欢迎点赞、收藏或关注我持续更新更多 Java / 后端 / 安全开发干货 👇
📬 有问题也可以评论区一起交流~
相关文章:
MyBatis-Plus 防止 SQL 注入最佳实践指南
🚫 MyBatis-Plus 防止 SQL 注入最佳实践指南 作者:William Dawson 标签:Java、MyBatis-Plus、安全、SQL 注入、防护 💥 什么是 SQL 注入? SQL 注入是一种常见的安全漏洞,攻击者通过恶意构造 SQL 输入参数&…...
和 plumberpdf 的对比分析及使用建议)
AI之pdf解析:Tesseract、PaddleOCR、RapidPaddle(可能为 RapidOCR)和 plumberpdf 的对比分析及使用建议
目录标题 Tesseract、PaddleOCR、RapidPaddle(可能为 RapidOCR)和 plumberpdf 的对比分析1. Tesseract类型: 开源 OCR 引擎特点:缺点:适用场景: 2. PaddleOCR (推荐)类型:特点:缺点:适用场景: 复杂版式文档、多语言混合文本、需要高精度识别的场景&#…...
)
经典文献阅读之--Kinematic-ICP(动态优化激光雷达与轮式里程计融合)
0. 简介 传统的激光雷达里程计系统通过点云配准来计算移动机器人的自运动(ego-motion),但它们通常没有考虑机器人的运动学特性,这可能导致不准确的运动估计,特别是在机器人不可能发生某些运动(如沿z轴的小…...
【显卡占用】kill程序后,显卡仍被占用
如果 kill 程序执行了,但显卡仍然显示被占用,咋个办? 如图所示,GPU-Util占用为0%,但显示占用48G,且无法再上程序: 执行命令: fuser -v /dev/nvidia* kill pid若上述方法无法解决&am…...
在 macOS 上合并 IntelliJ IDEA 的项目窗口
在使用 IntelliJ IDEA 开发时,可能会打开多个项目窗口,这可能会导致界面变得混乱。为了提高工作效率,可以通过合并项目窗口来简化界面。本文将介绍如何在 macOS 上合并 IntelliJ IDEA 的项目窗口。 操作步骤 打开 IntelliJ IDEA: 启动你的 I…...
IO流--字节流详解
IO流 用于读写数据的(可以读写文件,或网络中的数据) 概述: I指 Input,称为输入流:负责从磁盘或网络上将数据读到内存中去 O指Output,称为输出流,负责写数据出去到网络或磁盘上 因…...
6N60-ASEMI机器人功率器件专用6N60
编辑:ll 6N60-ASEMI机器人功率器件专用6N60 型号:6N60 品牌:ASEMI 封装:TO-220F 批号:最新 最大漏源电流:6A 漏源击穿电压:600V RDS(ON)Max:1.20Ω …...
实现侧边栏点击标题列表,和中间列表区域联动效果
左侧边栏标题列表实现: -------------------html-----------------------<divclass"uav":class"{ hidden: !isVisible, visible: isVisible }"><ul id"toc"><liv-for"(item, index) in HotList":key"…...
基于MuJoCo物理引擎的机器人学习仿真框架robosuite
Robosuite 基于 MuJoCo 物理引擎,能支持多种机器人模型,提供丰富多样的任务场景,像基础的抓取、推物,精细的开门、拧瓶盖等操作。它可灵活配置多种传感器,提供本体、视觉、力 / 触觉等感知数据。因其对强化学习友好&am…...
部署配置)
kafka监控kafka manager(CMAK)部署配置
一、准备工作 1.1、服务器信息梳理 角色IP操作系统安装服务监控机10.45.19.20Linux CentOS 7.9CMAK3.0.0.5、ZooKeeper3.9.0、JDK11、JDK1.8被监控机 Kafka broker.id 050.50.50.101Linux CentOS 7.9Kafka、ZooKeeper(任意版本)被监控机 Kafka broker.…...
线程池的介绍
目录 一、什么是线程池 二、线程池的详细内容 三、线程池的简化 一、什么是线程池 提到线程池,我们可能想到 常量池,可以先来说说常量池: 像是字符串常量,在Java程序最初构建的时候,就已经准备好了,等程…...
day33和day34图像处理OpenCV
文章目录 一、图像预处理12 图像梯度处理12.3 Sobel算子12.4 Laplacian算子1.原理:2.语法: 13 图像边缘检测思路13.1 高斯滤波去噪点13.2 计算图像的梯度与方向13.3 非极大值抑制13.4 双阈值筛选13.5 Canny方法和使用 14 绘制图像轮廓14.1 什么是轮廓14.…...
电脑硬盘常见的几种接口类型
一、传统接口(机械硬盘为主) 1. SATA 接口(Serial ATA) 特点: 最主流的机械硬盘(HDD)接口,广泛用于台式机和笔记本电脑。传输速度较慢,理论最大带宽为 6 Gbpsÿ…...
Windows网络及服务:制作系统盘
今天我要介绍的是一个比较有意思且好玩的一个小玩意儿:关于系统盘的制作; 注明:对于系统盘的制作,以及接下来的课程,基本是作为动手课业来进行的,这也是作为程序员的必要进行的一项活动。 对于系统盘&…...
Docker Compose 使用实例
文章目录 一、Docker Compose 简介二、安装 Docker Compose三、基础配置文件示例(docker-compose.yml)四、关键配置解析五、常用命令六、完整项目示例(Node.js MySQL Nginx)七、高级功能八、最佳实践九、调试技巧 一、Docker Co…...
系统架构师2025年论文《论基于UML的需求分析》
论基于 UML 的需求分析 摘要: 2018 年 3 月 1 日至 12 月 20 日,我参加了 “某市医院预约挂号系统” 项目的开发,担任系统架构师的工作。该项目是某市医院信息化建设的重要组成部分,目标是:优化医院挂号流程,提高患者就医体验,规范医院号源管理,实现患者预约挂号、医…...
)
Uniapp 自定义TabBar + 动态菜单实现教程(Vuex状态管理详解)
大家好,我是一诺。今天跟大家分享一下uniapp 封装自定义底部导航栏(TabBar) 过程中的思考和实践。通过本文,你将学会如何打造一个功能完善、可自由定制的TabBar组件! 先看效果: 支持自定义图标和样式动态…...
4月21日日记
新的一周开始了,好消息是未来这两周都每周只用上3天课,因为这周四五是运动会,下周四五是五一! 非常好的周一!收到了wxx和san还有小林的礼物!! wxx的是一个定制的有小排球的蓝牙影响࿰…...
2025高频面试算法总结篇【其他】
文章目录 直接刷题链接直达LRU Cache买卖股票的最佳时机系列实现一个HashMap环形链表寻找重复数缺失的第一个正数螺旋矩阵字符串相乘分发糖果 直接刷题链接直达 LRU Cache 头尾两个伪节点(避免判断) 双向链表146. LRU 缓存 买卖股票的最佳时机系列 121…...
)
vue项目中使用antvX6(可拖拽,vue3)
参考 先知demons 这位大佬的这篇文章:https://blog.csdn.net/wzy_PROTEIN/article/details/136305034?utm_mediumdistribute.pc_relevant.none-task-blog-2defaultbaidujs_baidulandingword~default-0-136305034-blog-136032209.235v43pc_blog_bottom_relevance_ba…...
文档处理控件Aspose.Words 教程:在 Word 中删除空白页完整指南
Word 文档中的空白页总是令人烦恼。如果您想从 Word 文档中删除空白页,以获得更清晰的演示文稿或整理文件,那么您来对地方了。本指南涵盖了使用 Aspose.Words编码解决方案和在 Microsoft Word 中手动删除方案,让您可以灵活地选择最适合自己的…...
自动驾驶最新算法进展
自动驾驶技术的算法进展迅速,涵盖感知、预测、规划、端到端学习等多个领域。以下是2023年至2024年的关键进展及实例: 1. 感知与融合 BEVTransformer的进化:特斯拉的Occupancy Networks升级至支持动态场景建模,结合NeRF技术…...
OpenCV训练题
一、创建一个 PyQt 应用程序,该应用程序能够: 使用 OpenCV 加载一张图像。在 PyQt 的窗口中显示这张图像。提供四个按钮(QPushButton): 一个用于将图像转换为灰度图一个用于将图像恢复为原始彩色图一个用于将图像进行…...
34、Spark实现读取XLS文件
需求背景: 有一些xls大文件数据。使用spark-excel(spark-excel)来读取时,文件太大会oom;工具提供的流式读取参数:maxRowsInMemory 也只支持xlsx类型文件。搜索了poi流式读取xls的方案,HSSFEvent…...
为什么RPN生成的候选框,要使用rcnn来进行分类和回归操作?
一句大白话总结:RPN是广撒网捕鱼,RCNN是细化鱼的分类和具体尺寸 在目标检测任务中,RPN(区域提议网络) 生成的候选框需要经过 RCNN(如 Fast R-CNN、Faster R-CNN) 进行分类和回归,这…...
固定总价合同工程范围变更,如果规避风险
一、合同签订阶段 工程范围的锁定 清单式列举 兜底条款:在合同附件中以 “正负零以上主体结构”“XX 型号设备采够” 等具体描述界定承包范围,同时约定 “超出本附件描述的工程内容视为变更”111。 设计深度要求:对于 EPC 项目,需…...
windows传文件给mac, linux或者其他windows
如果你想把你本地windows的文件传递给mac, linux或者其他windows电脑, 你会使用什么方法呢? 方法一 经常写python的朋友, 肯定会说, 我会用 SimpleHTTPServer python -m SimpleHTTPServer 8000生成一个超链接, 然后在其他机器上直接下载这个链接. 方法二 scp命令 Use SC…...
AI音乐解决方案:1分钟可切换suno、udio、luno、kuka等多种模型,suno风控秒切换 | AI Music API
你有没有觉得,suno风控来了,就要停服了? 你有没有觉得,对接多种音乐模型,让你很疲乏? 你有没有觉得,音乐模型,中文咬字不清楚,让你很苦恼? 别怕࿰…...
)
LeetCode 热题100题解(Java版本)
一、哈希 1、两数之和 https://leetcode.cn/problems/two-sum/?envType=study-plan-v2&envId=top-100-liked使用HashMap,遍历数组,判断当前元素的“补数”是否存在,如果存在直接返回结果,否则在Map中记录当前元素及其下标。 时间复杂度 O(n) 空间复杂度 O(n) class …...
突破传统!SEARCH-R1如何让LLM与搜索引擎协同推理?
大语言模型(LLMs)虽强大,但在复杂推理和获取最新信息方面存在局限。本文介绍的SEARCH-R1框架,通过强化学习让LLMs能自主与搜索引擎交互,在多个问答数据集上性能大幅提升。想知道它是如何做到的吗?快来一探究…...
)
C语言复习笔记--字符函数和字符串函数(下)
在上篇我们了解了部分字符函数及字符串函数,下面我们来看剩下的字符串函数. strstr 的使用和模拟实现 老规矩,我们先了解一下strstr这个函数,下面看下这个函数的函数原型. char * strstr ( const char * str1, const char * str2); 如果没找到就返回NULL指针. 下面我们看下它的…...
Git SSH 密钥多个 Git 来源
1. 生成 SSH 密钥 ssh-keygen -t rsa -b 4096 -C "997959066qq.com" 2. 输入指定路径 3. 增加 config文件在.ssh文件下 # GitHub 主账户 Host github.dis.comHostName github.disney.comUser gitIdentityFile ~/.ssh/id_rsa# 其他 Git 服务器 Host github.comHost…...
华为盒式交换机堆叠配置
1. 堆叠线缆连线图(如下图) 2. 配置Swtich1: [HUAWEI] sysname Switch1 [Switch1] interface stack-port 0/1 [Switch1-stack-port0/1] port interface xgigabitethernet 0/0/3 xgigabitethernet 0/0/4 enable Warning: Enabling stack function may cause configuration l…...
map和set的使用
序列式容器和关联式容器 c标准库为我们提供了多种容器类型,可以大体分为两类:序列式容器和关联式容器。 序列式容器按照线性顺序储存数据,元素的位置取决与插入的时间和地点。关联式容器基于键值对存储元素,提供高效的键查找能力…...
VMware制作Windows虚拟机模板注意点
1 、删除右下角的热删除 这个是必须的!虚拟机的高级参照中添加devices.hotplug “FALSE”,关闭USB设备热插拔,防止用户把虚拟桌面的网卡删除掉。 2、移除CD/DVD驱动器 这个建议!移除CD/DVD驱动器,此项操作…...
)
公有云攻防5(云函数)
Serverless概述 无服务器(Serverless)不是表示没有服务器,而是表示当您在使用Serverless时,您无需关心底层的资源,也无需登录服务器和优化服务器,只需关注最核心的代码片段,即可跳过复杂的、繁琐的基本工作。 Serverless 拥有近乎无限的扩容能力,空闲时,不运行任何资…...
【计算机网络】第五章 局域网技术
以太网技术 以太网的诞生 网络适配器和MAC地址 单播MAC地址 广播MAC地址 CSMA/CD协议 CSMA/CD协议的基本原理 共享式以太网---广播特性 MA多址接入 CS载波监听---先听后说 CD碰撞检测---边听边说 载波监听检测到总线空闲,但总线并不一定空闲。 使用CSMA/CD协议的…...
傲来云分享,负载均衡:提升网站性能与稳定性
在网站或应用的流量不断增加时,单台服务器往往无法承载过多的并发请求,导致性能下降和响应延迟。负载均衡技术正是为了解决这个问题,它可以将流量分发到多台服务器,从而提高系统的可扩展性、处理能力和可靠性。今天,我…...
之推导式)
Python基础总结(九)之推导式
文章目录 一、列表推导式1.1 列表推导式的格式1.2 列表推导式的注意事项1.3 列表推导式示例 二、 字典推导式2.1 字典推导式格式2.2 字典推导式注意事项2.3 字典推导式示例 三、 元组推导式3.1 元组推导式格式3.3 元组推导式示例 Python中的推导式有列表推导式,字典…...
程序员学商务英文之Terms of Payment Packing
Dia-3: Packing 1 包装-1 1. I’m here to improve my communication skill of English. 我来这里是为了提升我的英文沟通技能。 2. What a co-incidence! Fancy meeting you here. 这么巧!真没想到在这见到你。 3. Some birds aren’t meant to be caged…...
学生管理系统项目中的相关问题总结
目录 1. 项目中哪里体现出了封装性及其好处? 2. 项目中的setter/getter模式与封装性 什么是setter/getter?有什么用?怎么自动生成? 3.项目中某些类的toString()方法 4. 项目中几个常用方法解析 5. 项目中的面向对象设计 1…...
AI驱动下的企业学习:人力资源视角下的范式重构与价值觉醒
一、传统企业学习体系的系统性失效 当企业学习市场规模突破3600亿美元,人均年投入达1400美元的历史高位时,这场看似繁荣的图景背后却暗藏结构性危机。正如一份2024年研究报告所指出的,66%的企业仍倾向于通过外部招聘而非内部培养获取AI人才&…...
工厂模式:简单工厂模式
工厂模式 简单工厂模式:子类对象较多,则引入工厂类来创建 简单工厂模式 流程: 实例: 某电视机厂为各个品牌代工生产电视机,可以使用简单工厂的模式来实现 #include <iostream> #include <vector> using…...
Java并发编程-线程池
Java并发编程-线程池 线程池运行原理线程池生命周期线程池的核心参数线程池的阻塞队列线程池的拒绝策略线程池的种类newFixedThreadPoolnewSingleThreadExecutornewCachedThreadPoolnewScheduledThreadPool 创建线程池jdk的Executors(不建议,会导致OOM)jdk的ThreadP…...
ios17 音频加载失败问题
现象: 项目中有2个MP3 格式的音频,在iOS17 下 一个可以播,一个不能播,但是在浏览器可 正常播放 原因: 不能播的mp3是因为其编码格式为mpeg-4 AAC 编码格式 正常的mpeg audio 是可以播放的 解决&am…...
HarmonyOS:Navigation实现导航之页面设置和路由操作
导读 设置标题栏模式设置菜单栏设置工具栏路由操作页面跳转页面返回页面替换页面删除移动页面参数获取路由拦截 子页面页面显示类型页面生命周期页面监听和查询 页面转场关闭转场自定义转场共享元素转场 跨包动态路由系统路由表自定义路由表 示例代码 Navigation组件适用于模块…...
ADB -> pull指令拉取手机文件到电脑上
ADB Pull命令 在Android开发中,ADB的pull命令可以帮助我们将文件从设备拷贝到电脑上。 基本语法 adb pull <设备文件路径> [本地目标路径]<设备文件路径>:必需参数,指定要拉取的设备上的文件或文件夹[本地目标路径]࿱…...
Android Studio打开xml布局文件内存会快速增加如何设置
打开xml布局文件内存快速增加的原因是预览设置问题,直接在file-setting-editor-ui tools-editor view mode-resource: 选择code 就好了...
Spring Boot集成Keycloak
前言 本文参考A Quick Guide to Using Keycloak with Spring Boot,整理实战中遇到的问题。 Docker 安装 Keycloak 下载镜像 quay下载镜像 docker pull quay.io/keycloak/keycloak 失败的话,可再次尝试。 启动keycloak docker run -p 6060:8080 -…...
实验七 shell程序设计
实验七 shell程序设计 一、实验目的 理解shell的工作原理,学会编写shell脚本。 二、实验内容 1.编写不同功能的脚本程序。 2.利用chmod修改文件权限。 3.掌握脚本文件执行的方法。 三、主要实验步骤 1.创建一个名为zs_lab7的目录,下边实验步骤都在…...