在现代的软件开发中，数据库操作是至关重要的一环。MyBatis 作为一款优秀的持久层框架，被广泛应用于各类项目中。然而，随着业务的发展，复杂查询场景不断增多，SQL 注入的风险也随之增加。SQL 注入是一种常见且危险的安全漏洞，攻击者可以通过构造恶意的输入来改变 SQL 语句的原意，从而获取、篡改或删除数据库中的数据。因此，在使用 MyBatis 进行复杂查询时，如何有效防止 SQL 注入是一个必须要解决的问题。本文将详细介绍 MyBatis 防注入的实践方法，帮助开发者应对复杂查询中的 SQL 威胁。

1. SQL 注入的原理与危害

SQL 注入的原理是攻击者通过在应用程序的输入字段中添加恶意的 SQL 代码，利用应用程序对输入数据过滤不严格的漏洞，使得这些恶意代码被拼接到 SQL 语句中并执行。例如，在一个简单的登录表单中，正常的 SQL 查询可能是这样的：

SELECT * FROM users WHERE username = '输入的用户名' AND password = '输入的密码';

如果攻击者在用户名输入框中输入 ' OR '1'='1，那么最终执行的 SQL 语句就会变成：

SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '输入的密码';

由于 '1'='1' 始终为真，这样攻击者就可以绕过密码验证，直接登录系统。SQL 注入的危害非常严重，它可能导致数据库中的敏感信息泄露，如用户的个人信息、商业机密等；还可能会篡改或删除数据库中的数据，影响系统的正常运行；甚至可能会控制数据库服务器，造成更大的安全隐患。

2. MyBatis 中常见的 SQL 注入场景

在 MyBatis 中，常见的 SQL 注入场景主要有以下几种：

2.1 动态 SQL 拼接

MyBatis 支持动态 SQL 拼接，通过 <if>、<where> 等标签可以根据不同的条件生成不同的 SQL 语句。但是，如果在动态 SQL 拼接过程中直接使用用户输入的数据，而没有进行严格的过滤和转义，就容易导致 SQL 注入。例如：

<select id="getUserList" parameterType="map" resultType="User">
    SELECT * FROM users
    <where>
        <if test="username != null and username != ''">
            username = #{username}
        </if>
        <if test="age != null">
            AND age = #{age}
        </if>
    </where>
</select>

如果这里的 username 或 age 是用户输入的数据，且没有进行处理，就可能被注入恶意代码。

2.2 使用 $ 符号进行参数替换

在 MyBatis 中，# 符号和 $ 符号都可以用于参数替换。但是，# 符号会将参数进行预编译处理，而 $ 符号则是直接将参数值替换到 SQL 语句中。如果使用 $ 符号来处理用户输入的数据，就会存在 SQL 注入的风险。例如：

<select id="getUserListByTableName" parameterType="String" resultType="User">
    SELECT * FROM ${tableName}
</select>

如果 tableName 是用户输入的数据，攻击者就可以通过构造恶意的表名来执行恶意的 SQL 语句。

3. MyBatis 防注入的实践方法

3.1 使用 # 符号进行参数替换

在 MyBatis 中，推荐使用 # 符号进行参数替换。# 符号会将参数进行预编译处理，将参数值作为一个整体添加到 SQL 语句中，而不是直接拼接。这样可以有效防止 SQL 注入。例如：

<select id="getUserById" parameterType="int" resultType="User">
    SELECT * FROM users WHERE id = #{id}
</select>

在这个例子中，#{id} 会被预编译处理，即使攻击者输入恶意代码，也不会影响 SQL 语句的执行。

3.2 对用户输入进行严格的过滤和验证

除了使用 # 符号进行参数替换外，还需要对用户输入的数据进行严格的过滤和验证。可以在前端和后端都进行验证，确保输入的数据符合预期。例如，对于用户名，可以限制其长度和字符范围：

public boolean validateUsername(String username) {
    return username.matches("^[a-zA-Z0-9]{3,20}$");
}

在前端可以使用 JavaScript 进行初步的验证，在后端再进行一次验证，双重保障数据的安全性。

3.3 避免使用 $ 符号处理用户输入

如前面所述，$ 符号会直接将参数值替换到 SQL 语句中，容易导致 SQL 注入。因此，尽量避免使用 $ 符号处理用户输入的数据。如果确实需要使用 $ 符号，也要对参数进行严格的过滤和转义。例如：

public String escapeTableName(String tableName) {
    return tableName.replaceAll("[^a-zA-Z0-9_]", "");
}

在使用 $ 符号处理表名时，先对表名进行过滤，只允许合法的字符。

3.4 使用 MyBatis 的拦截器进行统一处理

MyBatis 提供了拦截器机制，可以在 SQL 执行之前对 SQL 语句进行拦截和处理。可以编写一个拦截器，对所有的 SQL 语句进行检查，过滤掉可能存在的恶意代码。例如：

@Intercepts({
    @Signature(type = StatementHandler.class, method = "prepare", args = {Connection.class, Integer.class})
})
public class SqlInjectionInterceptor implements Interceptor {
    @Override
    public Object intercept(Invocation invocation) throws Throwable {
        StatementHandler statementHandler = (StatementHandler) invocation.getTarget();
        BoundSql boundSql = statementHandler.getBoundSql();
        String sql = boundSql.getSql();
        // 检查 SQL 语句是否包含恶意代码
        if (containsMaliciousCode(sql)) {
            throw new RuntimeException("SQL 语句包含恶意代码");
        }
        return invocation.proceed();
    }

    private boolean containsMaliciousCode(String sql) {
        // 简单的检查，实际应用中可以更复杂
        return sql.toLowerCase().contains("drop") || sql.toLowerCase().contains("delete");
    }

    @Override
    public Object plugin(Object target) {
        return Plugin.wrap(target, this);
    }

    @Override
    public void setProperties(Properties properties) {
        // 设置属性
    }
}

在 MyBatis 的配置文件中注册这个拦截器：

<plugins>
    <plugin interceptor="com.example.SqlInjectionInterceptor" />
</plugins>

4. 复杂查询中的防注入策略

在复杂查询中，由于 SQL 语句的结构更加复杂，防注入的难度也会相应增加。以下是一些复杂查询中的防注入策略：

4.1 合理使用动态 SQL 标签

在使用动态 SQL 标签时，要确保对用户输入的数据进行严格的过滤和验证。可以使用 <choose>、<when>、<otherwise> 等标签来处理不同的条件，避免直接拼接用户输入的数据。例如：

<select id="getUserListByCondition" parameterType="map" resultType="User">
    SELECT * FROM users
    <where>
        <choose>
            <when test="condition == 'username'">
                username = #{username}
            </when>
            <when test="condition == 'age'">
                age = #{age}
            </when>
            <otherwise>
                1 = 1
            </otherwise>
        </choose>
    </where>
</select>

4.2 采用存储过程

存储过程是一种预编译的数据库对象，可以将复杂的 SQL 逻辑封装在存储过程中。使用存储过程可以减少 SQL 注入的风险，因为存储过程的参数是经过严格处理的。例如：

DELIMITER //
CREATE PROCEDURE GetUserListByAge(IN ageParam INT)
BEGIN
    SELECT * FROM users WHERE age = ageParam;
END //
DELIMITER ;

在 MyBatis 中调用存储过程：

<select id="getUserListByAge" parameterType="int" resultType="User">
    {call GetUserListByAge(#{age})}
</select>

5. 总结

SQL 注入是一个严重的安全问题，在使用 MyBatis 进行复杂查询时，必须要采取有效的防注入措施。通过使用 # 符号进行参数替换、对用户输入进行严格的过滤和验证、避免使用 $ 符号处理用户输入、使用 MyBatis 的拦截器进行统一处理以及在复杂查询中采用合理的策略等方法，可以有效降低 SQL 注入的风险，保障系统的安全性。开发者在实际项目中要时刻关注 SQL 注入问题，不断完善和优化防注入的措施，确保数据库和系统的安全稳定运行。