Mybatis中的#{}和${}的区别?

Posted wffzk

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Mybatis中的#{}和${}的区别?相关的知识,希望对你有一定的参考价值。

1,首先Mybatis中的#{}与${}到底有什么区别?

 

#{}:表示一个占位符号,通过#{}可以实现preparedStatement向占位符中设置值,自动进行java类型和jdbc类型转换,#{}可以有效防止sql注入。 #{}可以接收简单类型值或pojo属性值。 如果parameterType传输单个简单类型值,#{}括号中可以是value或其它名称。“%”#{name}”%”

${}:表示拼接sql串,通过${}可以将parameterType 传入的内容拼接在sql中且不进行jdbc类型转换, ${}可以接收简单类型值或pojo属性值,如果parameterType传输单个简单类型值,${}括号中只能是value。

 

#{}是预编译处理,$ {}是字符串替换。

预编译的机制。预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。我们知道,SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。

 

 

其实,区别就是如果使用#{},会将{}里面的传入的值自动解析成为带引号的值,比如:

select count(1) from tb_user where username = #{username} and  password  = #{password}

假如,此时传入username传入的值为admin,password传入的值为123456,那么最后的sql就是:

select count(1) from tb_user where username = ‘admin‘ and password  = ‘123456‘;

会解析成字符串,而${}就会这样解析:

select count(1) from t_user where username = admin and password  = 123456;

显然,这是一个错误的sql语句,那么,什么叫SQL注入呢?为什么#{}可以有效的防止sql注入呢?

2,什么是SQL注入?

SQL注入就是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库执行一些恶意的操作

比如说,在登录过程中,利用上面的语句到数据库中查找用户名/密码是否存在,如果存在就登录成功

而如果不存在就登录失败,如果说你后台使用的是${},恶意用户在表单中的用户名文本框中输入的是‘admin‘

密码框中输入的是‘ ‘ or 1 = 1 加了一引号和一个恒成立的条件,那么,传到数据库中的sql就是:

select count(1) from t_user where user_name = ‘admin‘ and user_password = ‘ ‘ or 1=1

如果程序没有做其他的校验,此时,该恶意用户是可以登录系统的! 这就是SQL注入,恶意攻击

而如果使用#{}是不会出现这种情况的,#{}默认会给输入的值加上引号,但是使用#{}在其他场景下并不适用

比如要使用到排序 order by #{} 传入的参数应是表对应字段名,但是加上引号后就会解析成

order by ‘age‘ 这样就达不到排序的目的,而此时如果使用${}就可以达到排序的目的

即,sql解析成 order by age,根据age排序

以上是关于Mybatis中的#{}和${}的区别?的主要内容,如果未能解决你的问题,请参考以下文章

Mybatis中的#{}和${}的区别?

Mybatis中的 # 和 $ 的区别

mybatis中的#和$的区别?

mybatis中的#{}和${}区别

关于mybatis中的#{},和${} 的区别

浅谈 Mybatis中的 ${ } 和 #{ }的区别