mybaties中#和$的区别

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了mybaties中#和$的区别相关的知识,希望对你有一定的参考价值。

参考技术A #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".

2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sql为order by id.

3. #方式能够很大程度防止sql注入。

4.$方式无法防止Sql注入。</ol>5.$方式一般用于传入数据库对象,例如传入表名.
6.一般能用#的就别用$.
MyBatis排序时使用order by 动态参数时需要注意,用$而不是#
字符串替换默认情况下,使用#格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用:ORDER BY $columnName这里MyBatis不会修改或转义字符串。重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。

Mybatis中#{}和${}的区别

在MyBatis 的映射配置文件中,动态传递参数有两种方式

  1. #{} 占位符 可以获取map中的值或者pojo对象属性的值;
  2. ${} 拼接符 可以获取map中的值或者pojo对象属性的值;

两者的作用都是从传入的pojo中获取对象属性的值

#{} 和 ${} 的区别

#{} 为参数占位符 ? 防止sql注入

例如

<select id="getRoleById" resultType="com.esummer.vo.RoleVo">
  <!-- 使用#{}获取参数 -->
    select * from tb_role where tb_role.role_id=#{roleId}
</select>

单元测试方法

@Test
public void testDemo(){
     RoleVo roleById = roleMapper.getRoleById(1);
     System.out.println(roleById);
}

控制台输出内容

Creating a new SqlSession
SqlSession [org.apache.ibatis.session.defaults.DefaultSqlSession@4f213a2] was not registered for synchronization because synchronization is not active
JDBC Connection [com.mysql.jdbc.JDBC4Connection@6094de13] will not be managed by Spring
==>  Preparing: select * from tb_role where tb_role.role_id=? 
==> Parameters: 1(Integer) 
<==    Columns: role_id, role_name
<==        Row: 1, admin
<==      Total: 1
Closing non transactional SqlSession [org.apache.ibatis.session.defaults.DefaultSqlSession@4f213a2]

可看出 #{} 是通过以预编译的形式将参数设置到sql语句中 mybatis底层再返回PreparedStatement对象

${} 为字符串替换,即 sql 拼接

<select id="getRoleById" resultType="com.esummer.vo.RoleVo">
  <!-- 使用${}获取参数 -->
   select * from tb_role where tb_role.role_id=${roleId}
</select>

单元测试方法

@Test
public void testDemo(){
     RoleVo roleById = roleMapper.getRoleById(1);
     System.out.println(roleById);
}

控制台输出内容

Creating a new SqlSession
SqlSession [org.apache.ibatis.session.defaults.DefaultSqlSession@370c7cc5] was not registered for synchronization because synchronization is not active
JDBC Connection [com.mysql.jdbc.JDBC4Connection@38159384] will not be managed by Spring
==>  Preparing: select * from tb_role where tb_role.role_id=1 
==> Parameters: 
<==    Columns: role_id, role_name
<==        Row: 1, admin
<==      Total: 1
Closing non transactional SqlSession [org.apache.ibatis.session.defaults.DefaultSqlSession@370c7cc5]

可看出 ${} 是在获得传入的参数后 将参数通过字符串方式 与sql语句进行拼接

 #{} 和 ${} 的作用

  1. #{} 能防止sql 注入
  2. ${} 不能防止sql 注入

 

以上是关于mybaties中#和$的区别的主要内容,如果未能解决你的问题,请参考以下文章

mybatis和hibernate的区别

mybatis和ibatis的区别

mybatis定义别名typealias和package的区别

MyBatis中#{ }和${ }的区别

mybatis中的#和$的区别

MyBatis中#{}和${}的区别