Mybatis #和$ 的區別及原理
阿新 • • 發佈:2021-07-28
在mybatis介面mapper檔案中引用傳入的引數是通過#{param}或者${param}來使用的。
1.資料型別匹配
# 會進行預編譯,而且進行型別匹配
$:不進行資料型別匹配
2.實現方式
#用於變數替換
$:實質上是字串拼接
3.#和$的使用場景
(1)變數的傳遞,必須使用#,使用#{}就等於使用了PrepareStatement這種佔位符的形式,提高效率。可以防止sql注入等等問題。#方式一般用於傳入新增,修改的值或查詢,刪除的where條件 id值
select * from t_user where name = #{param}
(2)$只是只是簡單的字串拼接,要特別小心sql注入問題,對應非變數部分,只能用$。$方式一般用於傳入資料庫物件,比如這種group by 欄位 ,order by 欄位,表名,欄位名等沒法使用佔位符的就需要使用${}
select count(*), from t_user group by ${param}
(3)能同時使用#和$的時候,最好用#。
sql注入問題:
I have a dream : Sandy beach B-J-N.SQL注入就是將原本的SQL語句的邏輯結構改變,使得SQL語句的執行結果和原本開發者的意圖不一樣.
比如:使用Statement語句執行者,執行sql,會造成sql注入的問題:
String sql = "select * from tb_name where name= '"+varname+"' and passwd='"+varpasswd+"'";
如果我們把[' or '1' = '1]
作為varpasswd傳入進來,執行查詢的時候 sql會變成:
String sql = "select * from tb_name where name= '' and passwd = '' or '1' = '1'
其中1=1
是永遠成立的,所以,前面的條件已經不起作用。
我們使用預編譯語句執行者就可以避免這個問題,prepareStatement將sql預編譯,傳引數的時候,不會改變sql語句結構,就可以避免注入。