• mybatis中#与$的区别

    MyBatis中使用parameterType向SQL语句传参,parameterType支持的类型可以是基本类型int,String,HashMap和java自定义类型。

    在SQL中引用这些参数的时候,可以使用两种方式:

    #{parameterName}

${parameterName}

    • 1
    • 2
    • 3

    首先,我们说一下这两种引用参数时的区别:

    使用 #{parameterName}引用参数的时候,Mybatis会把这个参数认为是一个字符串,并自动加上’',例如传入参数是“zhangsan”,那么在下面SQL中:

     

    • 1
    • 2
    • 3

    使用的时候就会转换为:

    select * from user where name = 'zhangsan'

    • 1

    同时使用${parameterName}的时候在下面SQL中

     

    • 1
    • 2
    • 3

    就会直接转换为:

    select * from user where name = zhangsan

    • 1

    简单说**#{}是经过预编译的,是安全的**。

    而**${}**是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入

    #{} 这种取值是编译好SQL语句再取值 ${} 这种是取值以后再去编译SQL语句

    • 1

    下面我们用一个实际的例子看看分别使用和是否可以防止SQL注入

    首先是使用#{}:

     

    • 1
    • 2
    • 3

    传参:

     @Test
    public void selectUserByName(){
        SqlSession sqlSession = MybatisUtil.getSqlSession();
        UserMapper userMapper = sqlSession.getMapper(UserMapper.class);
        String name = "zhangsan or password=111111";
        List users =  userMapper.selectUserByName(name);
        for (User user:users) {
            System.out.println(user);
        }
        sqlSession.close();
    }

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11

    结果如下:

    现在是使用**${}**:

     

    • 1
    • 2
    • 3

    传参:

        @Test
    public void selectUserByName(){
        SqlSession sqlSession = MybatisUtil.getSqlSession();
        UserMapper userMapper = sqlSession.getMapper(UserMapper.class);
        String name = "'zhangsan' or password='111111'";
        List users =  userMapper.selectUserByName(name);
        for (User user:users) {
            System.out.println(user);
        }
        sqlSession.close();
    }

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11

    结果如下:

    很明显,使用**${}**将参数拼接后在编译成SQL语句,不能防止SQL注入,查询出了有关password=111111的额外信息,这是很危险的。

    Mybatis中的#{}用于传递查询的参数,用于从dao层传递一个string参数过来(也可以是其他参数),select * from 表名 order by age=#{age}

    Mybatis会把这个参数转换成一个字符串。select * from 表名 order by age=“age” 相当于jdbc中的预编译,安全。

    而${}一般用于order by的后面,Mybatis不会对这个参数进行任何的处理,直接生成了sql语句。例:传入一个年龄age的参数,select * from 表名 order by ${age}

    Mybatis生成的语句为 select * from 表名 order by age Mybatis不会对$传递的参数做任何处理,相当于jdbc中的另外一种编译方式。

    总结:一般我们使用#{},不使用${}

    原因:

    会引起sql注入,${}会直接参与sql编译。会影响sql语句的预编译。

    引自:https://www.cnblogs.com/PoetryAndYou/p/11622334.html

  • 相关阅读:
    深入学习MYSQL-使用触发器
    NTP授时服务器(GPS授时器)在DCS系统应用
    Eureka Series : Thinking in Dissertations
    python 中指定GPU乱序解决方案
    HOOPS平台助力Xometry数字化转型:即时报价产品实现三维模型轻量化、Web端可视化!
    金三银四好像消失了,IT行业何时复苏!
    JS调用PHP和PHP调用JS的方法
    ArcGIS Pro 转换Smart3D生成的倾斜3D模型数据osgb——创建集成网格场景图层包
    python进制和编码
    【c语言】编译链接--详解
  • 原文地址:https://blog.csdn.net/m0_67393295/article/details/126584138