1.区别
#{} | ${} | |
---|---|---|
含义 | #{} 是预编译处理,Mybatis在处理#{} 时,它会将sql中的#{} 替换成占位符? ,然后调用PreparedStatement 的set 方法来赋值,传入字符串后会自动加上引号 。 | ${} 是字符串替换,Mybatis在处理${} 时,它会将sql中的${} 替换为变量的值(不做字符串处理);使用${} 会导致sql注入,不利于系统的安全。 |
eg | #{name} >>> name="大亨" | ${name} >>>name=大亨 |
应用场合 | 主要用于获取DAO接口中的参数数据,创建预编译的sql。 | 主要用于获取配置文件数据,创建的不是预编译的sql,而是字符串的拼接。 |
注 | #{}获取DAO参数数据时,假如参数个数多于一个可有选择的使用@param 。 | ${}获取DAO参数数据时,必须使用@param 注解进行修饰或者使用下标或者参数#{param1} 的形式。 |
注意 | order by #{id} >>>order by "id" 语法错误 | order by ${id} >>>order by id 正确 |
2.SQL注入
(1)通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。
(2)常见的有匿名登入(在登入框输入恶意的字符串)、借助异常获取数据库信息等。