Mybatis中#{}和${}區(qū)別
點(diǎn)擊上方“IT那活兒”,關(guān)注后了解更多內(nèi)容,不管IT什么活兒��,干就完了?。?!
Mybatis中#{}和${}是傳遞查詢參數(shù)的兩種方式,首先看下他們的使用方式����,這里以查詢姓名中包含字符“J”的數(shù)據(jù)列表為例。
現(xiàn)有一張User表�����,結(jié)構(gòu)和數(shù)據(jù)如下:
定義Dao接口:
定義Mapper文件:
執(zhí)行單元測試:
查看結(jié)果��,兩種方式都查詢出了兩條記錄���,都實現(xiàn)了需求。
#{}和${}雖然都能實現(xiàn)查詢��,但區(qū)別還是有的����,最大區(qū)別是${}方式可能導(dǎo)致SQL注入問題。
看個例子,把上面的查詢條件改動下�,在條件后加入 or 1=1 -- ,再分別看下結(jié)果���。
修改查詢條件:
查看執(zhí)行結(jié)果����,可以看到#{}方式查詢結(jié)果為0條���,${}方式查出了所有記錄�。
細(xì)思極恐啊�,如果采用${}方式執(zhí)行update或delete操作,那整張表數(shù)據(jù)都會受到影響�。
查看mysql執(zhí)行l(wèi)og日志,拿到兩種方式執(zhí)行的sql語句如下:
對比發(fā)現(xiàn)���,雖然兩種方式查詢條件傳入的字符串一樣���,但是Mysql執(zhí)行時生成的語句并不一樣,${}是字符串替換���,而#{}是預(yù)處理���,預(yù)處理時會對特殊字符進(jìn)行轉(zhuǎn)義操作�。
Mybatis在處理${}時����,就是把${}值直接替換成變量值。而在處理#{}時���,會對sql語句進(jìn)行預(yù)處理�,將sql中的#{}替換為?號���,調(diào)用PreparedStatement的set方法來賦值�。
因此���,使用#{}可以有效的防止SQL注入��,提高系統(tǒng)安全性。
我們已經(jīng)知道#{}可以有效的防止SQL注入��,那為什么還要有${}方式呢�����?
既然存在,那肯定有用武之地����,${}采用字符串拼接方式,還是舉個例子來介紹它的使用場景��。
例如�����,針對查詢時表名不確定的情況����,需要在查詢時將表名通過參數(shù)傳遞進(jìn)來,分別使用兩種方式測試下���。
Mapper文件如下:
執(zhí)行單元測試:
查看結(jié)果�����,${}方式可以查詢出結(jié)果�,而#{}方式拋出異常����,這種情況下只能選擇${}方式查詢�。
#{}針對輸入字符串進(jìn)行了轉(zhuǎn)義過濾處理��,能夠防止SQL注入�,適用于給SQL語句的where條件傳值的使用場景;
${}設(shè)計就是用于參與SQL的語法生成�,適用于需要通過傳遞值來拼接SQL語句的場景。
本文來源:IT那活兒(上海新炬王翦團(tuán)隊)
文章版權(quán)歸作者所有���,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/129579.html
