目录
一区别
在MyBatis中,#{}和${}是两种不同的参数占位符,用于在SQL语句中引用变量或参数。它们的区别如下:
1.#{}占位符(预编译):#{}是MyBatis中的预编译占位符,它会把传入的参数值自动进行预编译处理,以防止SQL注入攻击。#{}占位符会将参数值作为一个占位符传递给数据库驱动程序,驱动程序会将其转化为一个预编译的参数并进行安全处理,在执行SQL语句时,会将参数通过参数设置语句传递给数据库。
2.${}占位符(字符串拼接):${}是Mybatis中的字符串拼接占位符,它会直接传入的参数值拼接到SQL语句中。${}占位符会将参数值直接替换到生成的SQL语句中,这种方式比较灵活,可以动态拼接SQL语句的各个部分。
综上所述,#{}占位符提供了更高的安全性,适合用于参数值的传递,而${}占位符具有更高的灵活性的,适合用于动态拼接SQL语句的各个部分,在使用占位符时,应根据具体的需求选择合适的方式,并注意参数值的安全。
简单来说#{}就是预编译处理,${}是字符替换。
预编译处理:是指MyBatis在处理的#{}时,就是把的#{}替换成了?号,使用PreparedStatement的set方法来赋值。也就是说#{}会把{}内的整体看成value,最后再给value加上单引号,重点强调引号内部是一个整体(#{}不会发生SQL注入的根本原因)。
二SQL${}注入问题
xml文件
<mapper namespace="com.caicode.dao.UserDao">
<select id="query" resultType="com.caicode.entity.UserEntity">
select * from user where sname = '${param1}' and spassword = '${param2}'
</select>
</mapper>测试代码
public static void main(String[] args) throws IOException {
UserEntity userEntity = new UserService().queryOne("lisi","' or 1 = '1");
System.out.println("登录状态:"+(userEntity == null?"失败":"成功"));
}sql最终的结果
select * from user where sname = 'Lisi' and spassword = '' or 1 = '1'可以看到把符合结果的数据全部查询出来了,总共11条
而正常来说我们的一般输入是这样的
public static void main(String[] args) throws IOException {
UserEntity userEntity = new UserService().queryOne("zhangsan","123qwe");
System.out.println("登录状态:"+(userEntity == null?"失败":"成功"));
}这样输入的话,最终的结果是一条。