mybatis 的坑

ddddd 11:37:06
传进来参数都会空，这个表记录全部被删了？
rrrrr 11:37:12
是的
rrrrr11:37:40
只是想表达，一个很容易被忽略的容易出bug的地方
rrrrrr11:38:04
在上层也没做参数非空校验，sql也这样写的场景下
很容易有这种漏洞
rrrrrr 11:38:44
结论是以后制定项目规范时
delete语句不要带if
ccccc 11:38:52
双击查看原图我也干过
ccccc 11:38:58
我的是update
cccccc 11:39:16
结果传进来的参数是null，全表更新
cccccc11:39:26
我学过，但是没有用过mybatis双击查看原图
xxxxxxx 11:40:02
都是很低级和粗浅的bug
xxxxxx 11:40:24
确实容易忽略这个bug
ddddd11:40:52
有时只传一个参数，也有bug
ccccccc11:41:16
updateByPrimaryKey不写if
xxxxxx 11:41:18
阿里有自己的orm框架么
vvvvvvvv11:41:46
你们写的时候习惯加上！=‘’么
sssssss 11:41:49
delete也一样
ccccccc 11:41:55
会
xxxxxx 11:41:56
这里有两个delete的where条件
userid和id
作者本意应该是：用userid做类似于（只有本人才可以删自己数据的校验），id是删除数据的依据

但如果传过来的id为空的话
结果本人下的数据全都删除了
xxxxxxxxx11:42:13
我会加上!=''
xxxxxxxx 11:42:34
有时候
<where>
  if（会有七八个，十几个这么多）
<where>

漏掉一两个在前端没校验是很容易的
xxxxxxxx 11:42:51
尤其集合基类
xxxxxxxx 11:43:21
就造成
本意是 id集合不传，一个都不动
结果编程id集合不传，所有的数据都变了（删了）
xxxxxxxxxxx 11:43:56
这个还真没注意到
xxxxxxxx) 11:44:10
看来要强加一个!=
淡(dddd) 11:44:28
必须条件不要加
xxxxxxx) 11:44:46
！=‘’只针对字符串类型
对集合类型没用
小八(df) 11:44:56
并且不是这个意思
小八(ff) 11:45:08

淡(ff) 11:45:17
上个月就因为这个，我把一张表的其中一个字段全部update了
小八(ff) 11:45:18
再看下这条简单的sql
小八(ff) 11:45:38
就是因为条件不满足，所以才删全表
梅小西(ff) 11:46:47
那就是说sql没法做到验证咯
小八(ff) 11:46:48
我要表达的意思是
update和delete，最好没有动态条件
梅小西(fff) 11:46:51
只能逻辑层验证么
小八(fff) 11:47:25
有了动态条件，当动态条件里的if xxx不满足时
反而会变成，不满足条件的所有数据被更新（或删除）
小八(fff) 11:48:05
满足动态条件，就是部分数据更新（删除）
不满足动态条件，所有数据被更新（删除）
这是一个很容易被忽略的漏洞
淡(fff) 11:49:55
sql可以验证啊，不过很麻烦
淡(fff) 11:50:16
一两个字段还好，多了就很难看
淡(fff) 11:50:52
if test里写一大堆|| &&看着难看
小八(fff) 11:53:50
结论是，delete和update别加if做动态条件
淡(fff) 11:54:13
自动生成的mapper文件，ByPrimaryKey都没有if的
淡(ffff) 11:54:30
byExample有