美文网首页
mybatis中#与$的区别

mybatis中#与$的区别

作者: A_一只小菜鸟 | 来源:发表于2020-07-15 15:31 被阅读0次

    mybatis中#与$的区别

    MyBatis中使用parameterType向SQL语句传参,parameterType支持的类型可以是基本类型int、String、Array、Map、List和java自定义类型。

    在SQL中引用这些参数的时候,可以使用两种方式:
    #{parameterName}
    ${parameterName}

    一、两种引用参数SQL语句区别

    使用#{parameterName}引用参数的时候,Mybatis会把这个参数认为是一个字符串,并自动加上' ',例如传入参数是“Smith”,那么在下面SQL中:

    Select * from emp where name = #{employeeName}

    使用的时候就会转换为:

    Select * from emp where name = 'Smith';

    使用${parameterName}的时候在下面SQL中:

    Select * from emp where name = ${employeeName}

    就会直接转换为:

    Select * from emp where name = Smith

    结论:#相当于对数据加上双引号,$相当于直接显示数据

    二、两种引用参数安全区别

    mybatis在处理#{}时,意味着使用的预编译的语句,即在使用jdbc时的preparedStatement时,sql语句中的参数会用?作占位符,调用PreparedStatement的set方法来赋值,可以防止sql注入。

    mybatis在处理${}时,就是把${}替换成变量的值。

    使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。
    预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。我们知道,SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。预编译完成之后,SQL的结构已经固定,即便用户输入非法参数,也不会对SQL的结构产生影响,从而避免了潜在的安全风险。

    三、分别使用#和$看看是否可以防止SQL注入

    ${} SQL注入:
      <select id="getUserByNameAndPsw"  parameterType="map" resultType="com.hotel3.model.User">
        select * from USER where userName='${userName}' and userPassword =#{userPassword};
  </select>

    结果:

    ==>  Preparing: select * from USER where userName='' OR 1=1 OR '' and userPassword =?; 
==>  Parameters: ' OR 1=1 OR '(String), 123(String)
 <==  Total: 2

    结论:只要我们在 ${} 输入 ' OR 1=1 OR ' 无论后面的密码输入什么都可以,查询到数据,这种情况就是SQL注入。

    #{} 防止SQL注入
      <select id="getUserByNameAndPsw" parameterType="map" resultType="com.hotel3.model.User">
        select * from USER where userName=#{userName} and userPassword =#{userPassword};
  </select>

    结果:

     ==>  Preparing: select * from USER where userName=? and userPassword =?; 
 ==>  Parameters: ' OR 1=1 OR '(String), 123(String)
 <==  Total: 0

    结论:上面预编译SQL的参数已经由占位符 { ?} 代替,所以传入的 ' OR 1=1 OR ' 只会作为 userName字段的值,而不会拼入执行的SQL。这样就达到了防止SQL注入的目的。

    四、何时使用#{},何时使用${}?

    大多数情况下还是经常使用#{},一般能用#{}的就不用${}
    既然#{}有预编译功能,能防止sql 注入,那为什么还要使用${}呢?请看下面sql语句能用#{}传递参数吗?

    SELECT * FROM #{tableName};

    假如tableName传入的值是user,那么解析后的sql是这样的:

    SELECT * FROM  'user';

    到mysql控制台试一下,会报1064错误,这种情况下就必须使用${}传参:

    SELECT * FROM ${tableName};

    解析后的sql可以正常执行:

    SELECT * FROM  user;

    凡是sql中不能添加引号的值动态传参时都必须使用${},像order by,group by等。

    相关文章

      网友评论

          本文标题:mybatis中#与$的区别

          本文链接:https://www.haomeiwen.com/subject/dkauhktx.html

          延伸阅读

          深度阅读

          • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

          栏目导航

          热点阅读

          关于我们|服务条款|联系我们|mybatis中#与$的区别|投稿指南|网站地图|RSS订阅|排版工具|手机版

          提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

          Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

          备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

          本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

          所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!