首先,这是我遇到的一个面试问题
当时我对面试官说,我用mybatis时只用过#字符没有用过$字符。事后我也就来找度娘了。
我看了后就明白了,这个问题是以前也见过的问题,可惜从来没用过也就没什么印象了,今天来加深一下印象!
简单的来说,他们的区别就是#符号可以很大程度上地避免sql注入,而$不能!!!
而sql注入可能会危害到数据库!!!
具体是怎么避免sql注入的,一起来看看吧!(别人的总结,我是搬运工)
-
#会将传入的数据当做一个字符串,会对自动传入的数据加一个双引号。
如:order by #{user_id}
如果传入的值为3,那么解析成sql时的值为order by “3”,如果传入的值是id,则解析成的sql为order by “id”。 -
$会将传入的输入直接显示生成在sql中。
如:order by ${user_id}
如果传入的值为1,那么解析的sql语句为order by user_id,如果传入的值为id,则解析成sql为order by id。 -
#能够很大程度防止sql注入。()
-
$无法防止sql注入。
-
$方式一般用于传入数据库对象,例如传入表名。
-
一般能用#的就别用$ 。(难怪从来没有用过$)
实例讲解
动态sql是mybatis的主要特性之一,在mapper中定义的参数传到xml中之后,在查询之前mybatis会对其进行动态解析。mybatis为我们提供了两种支持动态sql的语法:#{}以及 ${}。
假设传入的name值为zhangsan。
两种语法运用:
select * from tb_user where name = #{name};
select * from tb_user where name = ${name};
其解析之后的结果均为
select * from user where name = 'zhangshan';
但是#{} 和${}在预编译中的处理是不一样的。#{}在预处理时,会把参数部分用一个占位符?代替,变成了如下的语句:
select * from user where name = ? ;
而${}则只是简单的字符串替换,在动态解析阶段,该sql语句会被解析成
select * from user where name = 'zhangshan' ;
以上,#{}的参数替换是发生再DBMS中,而${}则发生在动态解析过程中。(其实我有点没懂动态解析过程是哪个过程,反正就是有这么个过程。看到的小伙伴知道告诉我一下,谢谢。)
这样,可能有的小伙伴还是没看出来这样有什么区别,好像挺正常的啊,没什么毛病啊(有的小伙伴包括我啦)
== 继续看 ↓ ==
理解sql注入的重点来了!!!
继续用我搬运的原文中的例子:
select * from ${tableName} where name = #{name};
现在我们传入tableName的值为:
user; delete user; --
则动态解析之后sql如下:
select * from user; delete user; -- where name = ?;
那么解析之后的操作为:
select * from user;查询所有用户信息
以及
delete user;删除用户表
而-- where name = ?表示注释掉了。
那么这样一执行,你的数据库的数据就命不保了,极大可能导致服务器宕机。想想如果你做一个系统,别人轻而易举就删掉了你的数据库!
但是表名用参数传递进来的时候,只能使用 ${} 。这也提醒我们在这种用法中要小心sql注入的问题。(这个,嗯嗯嗯。。)
原文链接:
链接: https://www.jianshu.com/p/7003178f1923.