美文网首页
mybatis中#与$的区别

mybatis中#与$的区别

作者: A_一只小菜鸟 | 来源:发表于2020-07-15 15:31 被阅读0次

mybatis中#与$的区别

MyBatis中使用parameterType向SQL语句传参,parameterType支持的类型可以是基本类型int、String、Array、Map、List和java自定义类型。

在SQL中引用这些参数的时候,可以使用两种方式:
#{parameterName}
${parameterName}

一、两种引用参数SQL语句区别

使用#{parameterName}引用参数的时候,Mybatis会把这个参数认为是一个字符串,并自动加上' ',例如传入参数是“Smith”,那么在下面SQL中:

Select * from emp where name = #{employeeName}

使用的时候就会转换为:

Select * from emp where name = 'Smith';

使用${parameterName}的时候在下面SQL中:

Select * from emp where name = ${employeeName}

就会直接转换为:

Select * from emp where name = Smith

结论:#相当于对数据加上双引号,$相当于直接显示数据

二、两种引用参数安全区别

mybatis在处理#{}时,意味着使用的预编译的语句,即在使用jdbc时的preparedStatement时,sql语句中的参数会用?作占位符,调用PreparedStatement的set方法来赋值,可以防止sql注入。

mybatis在处理${}时,就是把${}替换成变量的值。

使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。
预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。我们知道,SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。预编译完成之后,SQL的结构已经固定,即便用户输入非法参数,也不会对SQL的结构产生影响,从而避免了潜在的安全风险。

三、分别使用#和$看看是否可以防止SQL注入

${} SQL注入:
  <select id="getUserByNameAndPsw"  parameterType="map" resultType="com.hotel3.model.User">
        select * from USER where userName='${userName}' and userPassword =#{userPassword};
  </select>

结果:

==>  Preparing: select * from USER where userName='' OR 1=1 OR '' and userPassword =?; 
==>  Parameters: ' OR 1=1 OR '(String), 123(String)
 <==  Total: 2

结论:只要我们在 ${} 输入 ' OR 1=1 OR ' 无论后面的密码输入什么都可以,查询到数据,这种情况就是SQL注入。

#{} 防止SQL注入
  <select id="getUserByNameAndPsw" parameterType="map" resultType="com.hotel3.model.User">
        select * from USER where userName=#{userName} and userPassword =#{userPassword};
  </select>

结果:

 ==>  Preparing: select * from USER where userName=? and userPassword =?; 
 ==>  Parameters: ' OR 1=1 OR '(String), 123(String)
 <==  Total: 0

结论:上面预编译SQL的参数已经由占位符 { ?} 代替,所以传入的 ' OR 1=1 OR ' 只会作为 userName字段的值,而不会拼入执行的SQL。这样就达到了防止SQL注入的目的。

四、何时使用#{},何时使用${}?

大多数情况下还是经常使用#{},一般能用#{}的就不用${}
既然#{}有预编译功能,能防止sql 注入,那为什么还要使用${}呢?请看下面sql语句能用#{}传递参数吗?

SELECT * FROM #{tableName};

假如tableName传入的值是user,那么解析后的sql是这样的:

SELECT * FROM  'user';

到mysql控制台试一下,会报1064错误,这种情况下就必须使用${}传参:

SELECT * FROM ${tableName};

解析后的sql可以正常执行:

SELECT * FROM  user;

凡是sql中不能添加引号的值动态传参时都必须使用${},像order by,group by等。

相关文章

  • Q&A-06 Mybatis

    Mybatis中#{}与${}的区别 #{}1、#{} 是 sql 的参数占位符,Mybatis 会将 sql 中...

  • MyBatis学习笔记

    Mybatis架构图 图中可能有错误,欢迎评论指正。 1.# Mybatis 中$与#的区别 Mybatis中#是...

  • mybatis中#与$的区别

    mybatis中#与$的区别 MyBatis中使用parameterType向SQL语句传参,parameterT...

  • MyBatis中#与$的区别

    在mybatis的映射配置文件中经常可以看到#与$符号,这两种符号都是用于传递参数,那么它们之间的区别是什么呢? ...

  • MyBatis 中 # 与 $ 的区别

    刚开始用 MyBatis 时,就发现有的地方用 #,有的地方用 $,但一直都没在意,直到程序出 Bug 了,才去了...

  • Mybatis中#{}与${}的区别

    1.#{}1.MyBatis会把这个表达式使用?(占位符)替换,作为一个sql参数使用:推荐使用。比如: 定义SQ...

  • Mybatis

    mybatis 与 hibernate 区别 : mybatis 相比于hibernate 需要关心很多细节 ...

  • Mybatis配置中#{}与${}的区别

    **#{} ** (1)防止sql注入。使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedS...

  • mybatis中#{}与¥{}的区别

    简单来说#{} 解析的是占位符?可以防止SQL注入, 比如打印出来的语句 select *from table w...

  • mybatis中#与$的使用区别

    关键词,预编译,防sql注入,动态sql 我们在使用mybatis中编写sql语句的时候,经常会使用#或者$来取值...

网友评论

      本文标题:mybatis中#与$的区别

      本文链接:https://www.haomeiwen.com/subject/dkauhktx.html

      延伸阅读

      深度阅读

      • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

      栏目导航

      热点阅读

      关于我们|服务条款|联系我们|mybatis中#与$的区别|投稿指南|网站地图|RSS订阅|排版工具|手机版

      提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

      Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

      备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

      本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

      所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!