mybatis $和#

Posted 2021-02-09 king西阳

1. $

　　将传入的数据直接显示生成在sql中，不会修改或转义字符串。如：order by $id$，如果传入的值是111,那么解析成sql时的值为order by 111,  如果传入的值是id，则解析成的sql为order by id.所以$方式一定程度上无法防止Sql注入。　　

　　$方式一般可用于传入数据库对象，例如传入表名。

　　mybatis排序时使用order by，其后面的动态参数也应使用$，但一般不建议这样使用，会存在潜在的sql注入风险。

　　${}等效$$，不会修改或转义字符串，类似以下执行：

Statement st = conn.createStatement();
       
ResultSet rs = st.executeQuery(sql);

　

2. #

　　将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。如：order by #id#，如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id，则解析成的sql为order by "id".相对使用$方式能够很大程度防止sql注入。

　　#{}等效##，这样使用的sql能够预编译，能在内存中保存sql语法，不用重新组装sql语法，类似以下执行：

PreparedStatement ps = conn.prepareStatement(sql);
ps.setInt(1,id);

一般情况下，建议能用#的就别用$。