MyBatis中 #{} 和 ${} 区别

作者: ProjectDaedalus | 来源:发表于2020-03-10 17:43 被阅读0次

    Mybatis的Mapper映射文件中,有两种方式可以引用形参变量进行取值: #{} 和 ${}
    本文将简述两种方式的区别和适用场景

    abstract.png

    取值引用

    #{} 方式

    #{}: 解析为SQL时,会将形参变量的值取出,并自动给其添加引号。
    例如:当实参username="Amy"时,传入下Mapper映射文件后

        ......
        <select id="findByName" parameterType="String" resultMap="studentResultMap">
            SELECT * FROM user WHERE username=#{value}
        </select>
        ....
    

    SQL将解析为:

        SELECT * FROM user WHERE username="Amy"
    

    ${} 方式

    ${}: 解析为SQL时,将形参变量的值直接取出,直接拼接显示在SQL中

    例如:当实参username="Amy"时,传入下Mapper映射文件后

        ......
        <select id="findByName" parameterType="String" resultMap="studentResultMap">
            SELECT * FROM user WHERE username=${value}
        </select>
        ....
    

    SQL将解析如下:

        SELECT * FROM user WHERE username=Amy
    

    显而该SQL无法正常执行,故需要在mppaer映射文件中的${value}前后手动添加引号,如下所示:

        ......
        <select id="findByName" parameterType="String" resultMap="studentResultMap">
            SELECT * FROM user WHERE username='${value}'
        </select>
        ....
    

    SQL将解析为:

        SELECT * FROM user WHERE username='Amy'
    

    SQL 注入

    ${}方式是将形参和SQL语句直接拼接形成完整的SQL命令后,再进行编译,所以可以通过精心设计的形参变量的值,来改变原SQL语句的使用意图从而产生安全隐患,即为SQL注入攻击。现举例说明:

    现有Mapper映射文件如下:

        ......
        <select id="findByName" parameterType="String" resultMap="studentResultMap">
            SELECT * FROM user WHERE username='${value}'
        </select>
        ....
    

    当 username = "' OR 1=1 OR '" 传入后,${}将变量内容直接和SQL语句进行拼接,结果如下:

        SELECT * FROM user WHERE username='' OR 1=1 OR '';
    

    显而易见,上述语句将把整个数据库内容直接暴露出来了

    #{}方式则是先用占位符代替参数将SQL语句先进行预编译,然后再将参数中的内容替换进来。由于SQL语句已经被预编译过,其SQL意图将无法通过非法的参数内容实现更改,其参数中的内容,无法变为SQL命令的一部分。故,#{}可以防止SQL注入而${}却不行

    适用场景

    #{} 和 ${} 均适用场景

    由于SQL注入的原因,${}和#{}在都可以使用的场景下,很明显推荐使用#{}。这里除了上文的WHERE语句例子,再介绍一个LIKE模糊查询的场景(username = "Amy"):

        <select id="findAddByName" parameterType="String" resultMap="studentResultMap">
            SELECT * FROM user WHERE username LIKE '%${value}%'
        </select>
    

    该SQL解析为:

        SELECT * FROM user WHERE username LIKE '%Amy%';
    

    上述通过${}虽然可以实现对包含"Amy"对模糊查询,但是不安全,可以改用#{},如下所示:

        <select id="findAddByName" parameterType="String" resultMap="studentResultMap">
            SELECT * FROM USER WHERE username LIKE CONCAT('%', #{username}, '%')
        </select>
    

    该SQL解析为下文所示,其效果和上文方式一致

        SELECT * FROM USER WHERE username LIKE CONCAT('%', 'Amy','%');
    

    只能使用${}的场景

    由于#{}会给参数内容自动加上引号,会在有些需要表示字段名、表名的场景下,SQL将无法正常执行。现举一例说明:

    期望查询结果按sex字段升序排列,参数String orderCol = "sex",mapper映射文件使用#{}:

        <select id="findAddByName3" parameterType="String" resultMap="studentResultMap">
            SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY #{value} ASC
        </select>
    

    则SQL解析及执行结果如下所示,很明显 ORDER 子句的字段名错误的被加上了引号,致使查询结果没有按期排序输出

        SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY 'sex' ASC;
    
    result1.jpeg

    这时,现改为${}测试效果:

        <select id="findAddByName3" parameterType="String" resultMap="studentResultMap">
            SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY ${value} ASC
        </select>
    

    则SQL解析及执行结果如下所示:

        SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY sex ASC;
    
    result2.jpg

    相关文章

      网友评论

        本文标题:MyBatis中 #{} 和 ${} 区别

        本文链接:https://www.haomeiwen.com/subject/uhdgdhtx.html