Mybatis——#{}和${}的区别
Posted 向着百万年薪努力的小赵
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Mybatis——#{}和${}的区别相关的知识,希望对你有一定的参考价值。
在使用mybatis的时候我们会使用到#和$这两个符号来为sql语句传参数,那么这两者有什么区别呢?
-
#是预编译处理,是占位符,$是字符串替换,是拼接符
-
Mybatis在处理#的时候会将sql中的#替换成?号,调用PreparedStatement来赋值
如:
select * from user where name = #userName;
设userName=yuze
看日志我们可以看到解析时将#userName替换成了 ?
select * from user where name = ?;
然后再把yuze放进去,外面加上单引号
- Mybatis在处理
的
时
候
就
是
把
的时候就是把
的时候就是把替换成变量的值,调用Statement来赋值
如:
select * from user where name = #userName;
设userName=yuze
看日志可以发现就是直接把值拼接上去了
select * from user where name = yuze;
这极有可能发生sql注入,下面举了一个简单的sql注入案例
这是一条用户的账号、密码数据
当用户登录,我们验证账号密码是否正确时用这个sql:
username=yyy;password=123
select * from user where username=$username and password=$password
显然这条sql没问题可以查出来,但是如果有人不知道密码但是想登录账号怎么办
我们不需要填写正确的密码:
密码输入1 or 1=1,sql执行的其实是
select * from user where username='yyy' and password=1 or 1 =1
-
#的变量替换是在DBMS中、变量替换后,#对应的变量自动加上单引号
-
的 变 量 替 换 是 在 D B M S 外 、 变 量 替 换 后 , 的变量替换是在DBMS外、变量替换后, 的变量替换是在DBMS外、变量替换后,对应的变量不会加上单引号
-
使用#可以有效的防止sql注入,提高系统的安全性
Mybatis-Plus和Mybatis的区别
参考技术A 之前一直使用mybatis,最近使用一段时间mybatis plus,使用心得如下:1、网上copy了两张图,比较好的说明两者的差别
2、什么时候使用mybatis,什么时候使用mybatis plus呢?
增删改基本都是单表操作,毫无顾虑的直接使用mybatis plus那叫一个爽呀,
检索时,如果是单表检索,使用mybatis plus也是相当方便,如果是多表关联检索,个人习惯还是使用mybatis比较方便,看着SQL文,很是直观,灵活,想怎么写就怎么写(两者可以混用)。
原文链接: https://blog.csdn.net/yhj_911/java/article/details/103833689
以上是关于Mybatis——#{}和${}的区别的主要内容,如果未能解决你的问题,请参考以下文章