实战避坑:MyBatis中${}拼接如何优雅又安全？

“今天安全部门突然发来一封邮件，提示我提交的代码中存在 41 条安全漏洞，顿时脑子嗡的一声——开发不是在写业务代码吗？怎么一不小心就踩了‘雷’？”

这是我今天开发过程中遇到的真实经历。虽然平常对安全规范都有一定的意识，但在实际业务需求推动下，很多“临时处理方案”或“权宜之计”，往往埋下了深深的隐患。这次排查的众多漏洞中，有一个让我尤为警惕——SQL注入。

1. SQL注入

SQL注入（SQL Injection）并不是一个陌生的词汇，它是OWASP列出的十大安全漏洞之一，也是最常见、危害最大的安全问题之一。

你可能会以为只有在拼接SQL字符串、使用Statement而不是PreparedStatement时才会出现注入问题。但实际上，它早已潜伏在你日常的MyBatis XML文件中，尤其是——${}的使用场景。

比如下面的代码：

<select id="selectByField" resultType="User">SELECT * FROM user WHERE ${fieldName} = #{value}
</select>

这段代码看似简洁优雅，支持动态传入查询字段，满足了业务需求的灵活性。然而，它同时也给了攻击者一个大开门：SQL注入的入口。

2. ${} 与#{}区别

在 MyBatis 中，${} 与 #{} 是两个经常被混淆的语法。它们的本质区别决定了是否安全：

以登录查询为例：

<select id="selectByUsernameAndPassword" resultType="User">SELECT * FROM user WHERE username = #{username} AND password = #{password}
</select>

这就是推荐做法：使用 #{}，MyBatis 会自动处理参数预编译，杜绝注入风险。

而如果你使用了 ${}：

<select id="selectByField" resultType="User">SELECT * FROM user WHERE ${fieldName} = #{value}
</select>

如果传入的 fieldName = "1=1; DROP TABLE user;"，那么灾难就来了。

然而问题也来了：有些场景，不用 ${} 就做不了。

3. 使用 ${}的原因

虽然 ${} 是高危操作，但在某些业务场景中，它却不可或缺。

这就是它的诱惑：用起来太方便了。

以下是一些典型例子：

• 动态拼接表名（如按照日期划分的日志表：log_202406, log_202407）
• 动态拼接字段名（如模糊查询时字段可选）
• 动态排序字段（如 ORDER BY ${orderByField}）
• 动态设置更新字段（如在更新时决定字段名）

示例：

<select id="getLogFromTable" resultType="LogRecord">SELECT * FROM ${tableName} WHERE user_id = #{userId}
</select>

这段代码中，${tableName} 必须使用字符串拼接，否则无法替换成表名。

但代价是，你必须手动对 ${} 负责 —— 否则就像把数据库交到了攻击者手上。

因此，口诀是：

参数用 #{}，结构用 ${}，结构要防注入，四步护航最靠谱。

4. 四步曲

我们以一个常见场景为例来说明：根据不同表名动态查询数据。

场景需求：

<select id="selectFromDynamicTable" resultType="User">SELECT * FROM ${tableName} WHERE id = #{id}
</select>

这个功能需求很明确，但也十分危险。我们可以使用以下四种方式逐步加强安全性：

1. 白名单过滤

List<String> allowTables = Arrays.asList("user", "user_backup", "user_log");
if (!allowTables.contains(tableName)) {throw new IllegalArgumentException("非法表名！");
}

2. 正则校验

if (!tableName.matches("^[a-zA-Z0-9_]+$")) {throw new IllegalArgumentException("非法表名格式！");
}

3. 表存在性校验

目标：在执行真正的SQL前，先验证这个表是否在当前数据库中存在。

1. DAO 接口

public interface MetaTableMapper {int countTableExists(@Param("tableName") String tableName);
}

2. Mapper XML

<select id="countTableExists" resultType="int">SELECT COUNT(*) FROM information_schema.tables WHERE table_schema = DATABASE() AND table_name = #{tableName}
</select>

3. Service 层示例

@Autowired
private MetaTableMapper metaTableMapper;public void validateTableName(String tableName) {if (!tableName.matches("^[a-zA-Z0-9_]+$")) {throw new IllegalArgumentException("表名非法！");}int count = metaTableMapper.countTableExists(tableName);if (count == 0) {throw new IllegalArgumentException("表不存在！");}
}

4. 使用场景

在执行动态SQL前先校验表名：

public List<User> getUserFromDynamicTable(String tableName, Long userId) {validateTableName(tableName); // 防注入检查return userMapper.selectFromDynamicTable(tableName, userId);
}

5. MyBatis XML 中的动态表查询（结构拼接）

<select id="selectFromDynamicTable" resultType="User">SELECT * FROM ${tableName} WHERE id = #{userId}
</select>

结合表名正则 + 数据库表存在性校验，最大限度降低注入风险。

4. 使用 MyBatis 的 choose/when 标签

<select id="selectFromKnownTables" resultType="User">SELECT * FROM <choose><when test="tableName == 'user'">user</when><when test="tableName == 'user_backup'">user_backup</when><otherwise>invalid_table</otherwise></choose>WHERE id = #{id}
</select>

安全永远是开发中不可忽视的部分，而SQL注入是最容易被忽略却最危险的漏洞之一。尤其是在 MyBatis 的动态 SQL 场景下，我们常常为了灵活性使用 ${}，却在不经意间打开了安全后门。