1.mybatis中mapper文件中引用参数时有两种方式: ${}和#{}
2.推荐使用#{},因为${}可能引起sql注入问题。
3.例如:
① select * from user where id = #{id}
此时sql预编译是select * from user where id = ?, 引用会被占位符取代,较为安全。
② select * from ${tableName} where name = #{name}
在这个例子中,如果表名为
user; delete user; –
则动态解析之后 sql 如下:
select * from user; delete user; – where name = ?;
--之后的语句被注释掉,而原本查询用户的语句变成了查询所有用户信息+删除用户表的语句,会对数据库造成重大损伤,极大可能导致服务器宕机。
但是表名用参数传递进来的时候,只能使用 ${} ,具体原因可以自己做个猜测,去验证。这也提醒我们在这种用法中要小心sql注入的问题。