iBatis 和 myBatis中的“$”符号和“#”

最新推荐文章于 2024-05-26 16:37:28 发布

VerusBin

最新推荐文章于 2024-05-26 16:37:28 发布

阅读量2.4k

点赞数

分类专栏： java 文章标签： java mybatis ibatis sql

本文链接：https://blog.csdn.net/cb905259982/article/details/73469777

版权

java 专栏收录该内容

14 篇文章 0 订阅

订阅专栏

一、iBatis中的$和#

在iBatis中使用sqlmap查询时引用参数往往会使用一对$或者#写在参数前后，以此来区别原生sql和参数的区别；那么#和$有什么区别呢？什么时候用#什么时候又用$呢？这里就这点和大家分享下：

简单来说：

#可以进行与编译，进行类型匹配，而$不进行数据类型匹配； 例如：

select * from table where id = #id# ，其中如果字段id为字符型，那么#id#表示的就是'id'类型，如果id为整型，那么#id#就是id类型。 select * from table where id = $id$ ，如果字段id为整型，Sql语句就不会出错，但是如果字段id为字符型，那么Sql语句应该写成 select * from table where id = '$id$'（注意这里有引号）； 其实很明显了： 'id'类型，如果id为整型，那么#id#就是id类型。 select * from table where id = $id$ ，如果字段id为整型，Sql语句就不会出错，但是如果字段id为字符型，那么Sql语句应该写成 select * from table where id = '$id$'（注意这里有引号）； 其实很明显了：

$ 的作用实际上是字符串拼接， 
select * from $tableName$ 
等效于 
StringBuffer sb = new StringBuffer(256); 
sb.append("select * from ").append(tableName); 
sb.toString(); 
#用于变量替换 
select * from table where id = #id# 
等效于 
prepareStement = stmt.createPrepareStement("select * from table where id = ?") 
prepareStement.setString(1,'abc'); 
select * from $tableName$ 
等效于 
StringBuffer sb = new StringBuffer(256); 
sb.append("select * from ").append(tableName); 
sb.toString(); 
#用于变量替换 
select * from table where id = #id# 
等效于 
prepareStement = stmt.createPrepareStement("select * from table where id = ?") 
prepareStement.setString(1,'abc');

什么时候用$，什么时候 用 # ？
对于变量部分， 应当使用#， 这样可以有效的防止sql注入，# 都是用到了prepareStement，这样对效率也有一定的提升 $只是简单的字符拼接而已，对于非变量部分， 那只能使用$， 实际上， 在很多场合，$也是有很多实际意义的 ；
例如 ：
select * from $tableName$ （对于不同的表执行统一的查询 ）update $tableName$ set status = #status# （每个实体一张表，改变不同实体的状态 ）
特别提醒一下， $只是字符串拼接， 所以要特别小心sql注入问题。 
对于变量部分， 应当使用#， 这样可以有效的防止sql注入，# 都是用到了prepareStement，这样对效率也有一定的提升 $只是简单的字符拼接而已，对于非变量部分， 那只能使用$， 实际上， 在很多场合，$也是有很多实际意义的 ；
例如 ：
select * from $tableName$ （对于不同的表执行统一的查询 ）update $tableName$ set status = #status# （每个实体一张表，改变不同实体的状态 ）
特别提醒一下， $只是字符串拼接， 所以要特别小心sql注入问题。

二：MyBatis中的$和#

1. #将传入的数据都当成一个字符串，会对传入的数据加一个双引号。

如：order by #user_id#，如果传入的值是666,那么解析成sql时的值为order by "666", 如果传入的值是id，则解析成的sql为order by "id"；
2. $将传入的数据直接显示生成在sql中，不会有额外操作。

如：order by $user_id$，如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id，则解析成的sql为order by id.
3. #方式能够很大程度防止sql注入。（后续博客中会说明）；
4.$方式无法防止Sql注入。（后续会有更新说明）
5.$方式一般用于传入数据库对象，例如传入表名.
6.一般能用#的就别用$.
MyBatis排序时使用order by 动态参数时需要注意，用$而不是#
字符串替换
默认情况下，使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值（比如?）。这样做很安全，很迅速也是首选做法，有时你只是想直接在SQL语句中插入一个不改变的字符串。比如，像ORDER BY，你可以这样来使用：
ORDER BY ${columnName}
这里MyBatis不会修改或转义字符串。

重要：接受从用户输出的内容并提供给语句中不变的字符串，这样做是不安全的。这会导致潜在的SQL注入攻击，因此你不应该允许用户输入这些字段，或者通常自行转义并检查；

今天分享就到此，欢迎指正交流；

VerusBin

关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
iBatis 和 myBatis中的“$”符号和“#”

一、iBatis中的$和#在iBatis中使用sqlmap查询时引用参数往往会使用一对$或者#写在参数前后，以此来区别原生sql和参数的区别；那么#和$有什么区别呢？什么时候用#什么时候又用$呢？这里就这点和大家分享下：简单来说：#可以进行与编译，进行类型匹配，而$不进行数据类型匹配；例如： select * from table where id = ...
复制链接

扫一扫