Mybatis中的#{}和${}的区别？

Posted 2020-11-23 wffzk

1，首先Mybatis中的#{}与${}到底有什么区别？

 

#{}:表示一个占位符号，通过#{}可以实现preparedStatement向占位符中设置值，自动进行java类型和jdbc类型转换，#{}可以有效防止sql注入。 #{}可以接收简单类型值或pojo属性值。 如果parameterType传输单个简单类型值，#{}括号中可以是value或其它名称。“%”#{name}”%”

${}:表示拼接sql串，通过${}可以将parameterType 传入的内容拼接在sql中且不进行jdbc类型转换， ${}可以接收简单类型值或pojo属性值，如果parameterType传输单个简单类型值，${}括号中只能是value。

 

#{}是预编译处理，$ {}是字符串替换。

预编译的机制。预编译是提前对SQL语句进行预编译，而其后注入的参数将不会再进行SQL编译。我们知道，SQL注入是发生在编译的过程中，因为恶意注入了某些特殊字符，最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。

 

 

其实，区别就是如果使用#{}，会将{}里面的传入的值自动解析成为带引号的值，比如：

select count(1) from tb_user where username = #{username} and  password  = #{password}

假如，此时传入username传入的值为admin，password传入的值为123456，那么最后的sql就是：

select count(1) from tb_user where username = ‘admin‘ and password  = ‘123456‘;

会解析成字符串，而${}就会这样解析：

select count(1) from t_user where username = admin and password  = 123456;

显然，这是一个错误的sql语句，那么，什么叫SQL注入呢？为什么#{}可以有效的防止sql注入呢？

2，什么是SQL注入？

SQL注入就是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库执行一些恶意的操作

比如说，在登录过程中，利用上面的语句到数据库中查找用户名/密码是否存在，如果存在就登录成功

而如果不存在就登录失败，如果说你后台使用的是${}，恶意用户在表单中的用户名文本框中输入的是‘admin‘

密码框中输入的是‘ ‘ or 1 = 1 加了一引号和一个恒成立的条件，那么，传到数据库中的sql就是：

select count(1) from t_user where user_name = ‘admin‘ and user_password = ‘ ‘ or 1=1

如果程序没有做其他的校验，此时，该恶意用户是可以登录系统的！ 这就是SQL注入，恶意攻击

而如果使用#{}是不会出现这种情况的，#{}默认会给输入的值加上引号，但是使用#{}在其他场景下并不适用

比如要使用到排序 order by #{} 传入的参数应是表对应字段名，但是加上引号后就会解析成

order by ‘age‘ 这样就达不到排序的目的，而此时如果使用${}就可以达到排序的目的

即，sql解析成 order by age,根据age排序