前言
#{}和${}都是mybatis动态SQL的一部分,其实mybatis的动态SQL还包括大家耳熟能详的<if>
<where>标签,以及用于批量提交的<foreach>标签等等。
总而言之:
(1)#{}在很大程度上能够防止sql注入。
(2)${}无法防止sql注入。
(3)${}一般用于传入数据库对象,例如传入表名,即table。
(4)一般能用#{}的就别用${}。
分析
mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。
比如,如果 name 为derder,则下面两种方式没区别:
select * from user where name = #{name};
select * from user where name = ${name};
其解析之后的结果均为
select * from user where name = 'derder';
但是 #{} 和 ${} 在预编译中的处理是不一样的。#{} 在预处理时,会把参数部分用一个占位符 ? 代替,
变成如下的 sql 语句:
select * from user where name = ?;
注:
?是一个占位符,在JDBC中的用法如下:
String sql = "SELECT userid,name FROM tuser WHERE userid=? AND password=?" ;
pstmt = conn.prepareStatement(sql) ;
pstmt.setString(1,userid) ; // 这里设置了第一个?的值
pstmt.setString(2,password) ; // 这里设置了第二个?的值 等你“setString”完所有的?后,你的sql就构造好了。
而 ${} 则只是简单的字符串替换,在动态解析阶段,该 sql 语句会被解析成
select * from user where name = 'derder';
以上,#{} 的参数替换是发生在 DBMS 中,而 ${} 则发生在动态解析过程中。
优先使用 #{}。因为 ${} 会导致 sql 注入的问题。
SQL注入的例子:
select * from ${tableName} where name = #{name}
在这个例子中,如果表名为
user; delete user; --
则动态解析之后 sql 如下:
select * from user; delete user; -- where name = ?;
--之后的语句被注释掉,而原本查询用户的语句变成了查询所有用户信息+删除用户表的语句。
但是表名用参数传递进来的时候,只能使用 ${} 。这也提醒我们在这种用法中要小心sql注入的问题。
另外:
Spring中XML文件通过${}引入property文件中的值构建DataSource,这里的${}不是XML固有的,而是利用自带的java jar 包对${}中的东西进行解析。
(部分内容是我当初从CSDN上摘录的笔记,一年过去了,忘记了出处)