Mybatis之占位符与拼接符

Posted 2020-12-26 blue星空

1.占位符

    1.1  含义：

        在持久化框架中，为了将约束条件中的可变参数从sql中分离出来，在原有的参数位置使用特殊的标记来标记该位置，后期通过代码给sql传递参数（即实现sql与代码分离开）。这个特殊的标记被称为占位符。

    1.2 优点：

        1.2.1 防止sql注入，提高了安全性

        1.2.2 对于只有参数不同的sql语句，只需要编译一次{以后会从缓存中获取}

    1.3 形式：

         占位符在持久化框架中的一般形式为：？。Mybatis为了更加方便的与参数列表进行映射，采用的形式为：#{参数名}

    1.4 示例：

SELECT * FROM t_address t where t.id = #{id}
--等价于
SELECT * FROM t_address t where t.id = ？

    1.5 注意：

        占位符只能在约束条件中使用

--持久化框架中，不允许以下形式：
SELECT * FROM ?  ?
SELECT * FROM t_address order by ?  ?

--mybatis中，不允许以下形式                             
SELECT * FROM #{tableName}
SELECT * FROM t_address order by  #{orderBy}

 

2. 拼接符

    2.1 背景：

        由于占位符只能在sql语句的约束条件中使用，有时候sql语句需要其它的一些变量参数(非约束条件中)来控制，如：表名、排列顺序等。所以Mybatis使用了拼接符的概念

    2.2 形式：${参数名}

    2.3 示例：

SELECT * FROM ${tableName}

    2.4 注意：

        如果参数通过用户获取，则不能使用拼接符的形式【会发生sql注入，不安全】

 

3. 补充：

    在进行预编译的时候，会用参数值直接替换${参数名}，用？替换#{参数名}

 

4. sql注入

    4.1 概念：

        将sql语法里的一些组合，通过表单提交或页面请求注入到sql语句中，欺骗服务器执行恶意sql语句

    4.2 示例：

String id = “1 or 1 = 1”;
String sql = “select * from t_address where id = ”+id;

    4.2 防止sql注入的方法：

        对于表单提交的数据，使用占位符的形式构建sql语句（占位符不识别参数的sql语法【作为普通字符串】）

String id = “1 or 1 = 1”
String sql = “select * from t_address where id = ？”

//解析后：

select * from t_address where id = ‘1 or 1 = 1’;