目录
#和$有什么不同?
- # 是一个占位符,$ 是一个拼接符
- # 可以防止sql注入问题
# 是一个占位符,$ 是一个拼接符
# 是先预编译后取值(使用 ?占位)
$ 是先取值后预编译(字符串拼接后,进行编译)
当使用#{}的方式编写的sql时,#{} 对应的变量自动加上单引号 ' ',变为字符串
select * from #{param}
当我们给参数传入值为user时,他的sql是这样的:
select * from 'user'
当使用${}时,${} 是进行sql拼接,${} 对应的变量是不会被加上单引号 ' ' 的。
select * from ${param}
当我们给参数传入值为user时,他的sql是这样的:
select * from user
# 如何防止sql注入问题
什么是SQL注入?
SQL注入产生的原因便是:没经查验或是未充分检验的输入数据,出现意外变成了sql代码而被执行。对于SQL注入,则是递交的数据,被数据库系统编译而造成了开发人员预估以外的问题。也就是说,SQL注入是用户的输入信息,在连接SQL语句的过程中,跨越了数据本身,变成了SQL语句逻辑的一部分,随后被拼凑的SQL语句被数据库运行,造成了难以挽回的损失。
sql注入发生的时间,sql注入发生的阶段在sql预编译阶段,当编译完成的sql不会产生sql注入
#在预编译阶段使用 ?占位,不管输入何种参数时,都可以防止sql注入
假设mapper.xml文件中sql查询语句为:
<select id="findById" resultType="String">
select name from user where id = #{userid};
</select>
当传入的参数为3; 当我们执行时可以看见打印的sql语句为:
select name from usre where id = ?;
因为mybatis底层实现了预编译,底层通过prepareStatement预编译实现类对当前传入的sql进行了预编译,最后执行时将 3 传入,这样就可以防止sql注入了
如果将查询语句改写为:
<select id="findById" resultType = "String">
select name from user where id=${userid}
</select>
当输入参数为3;
select name from user where id = 3;
mybatis没有进行预编译语句,它先进行了字符串拼接,然后进行了预编译。这个过程就是sql注入生效的过程。
什么时候使用${ }
1.当sql中表名是从参数中取的情况,需要动态拼接表名时。
select * from ${tablename}
2.order by 必须使用跟字段名,这个字段名不能带引号
select * from table order by ${username}