前言
提示:这里可以添加本文要记录的大概内容:
例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。
提示:以下是本篇文章正文内容,下面案例可供参考
一、#{}与${}的区别
1.1 防止SQL注入
1. 当我们有多个Mapper接口进行查询时,如果只有查询的属性字段不同,会造成代码重复率较高
2. #{}:表示一个占位符 经过预编译就变成了 ? 占位符,SQL代码不会被恶意更改
使用#{}经过解析在SQL语句中为:
DEBUG [main] - ==> Preparing: select * from team where id=?
3. ${} 经过解析后变成了字符串数据,可以通过SQL注入进行恶意修改SQL
DEBUG [main] - ==> Preparing: select * from team where id=1
测试 #{}:
1. Mapper接口
List<Team> queryByColumn(@Param("column") String column,@Param("columnValue") String columnValue);
2. Mapper映射文件
<select id="queryByColumn" resultType="com.mk.study.Team">
select * from team where ${column}=#{columnValue}
</select>
3. 测试
@Test
public void demo8(){
TeamDao mapper = MybatisUtil.getOpenSession().getMapper(TeamDao.class);
List<Team> lists = mapper.queryByColumn("id", "1");
lists.forEach(list -> System.out.println(list));
}
结果:
where 查询条件后 为 ? 占位符可以有效防止SQL注入
测试 ${}:
1. Mapper接口
List<Team> queryByColumn(@Param("column") String column,@Param("columnValue") String columnValue);
2. Mapper映射文件
<select id="queryByColumn" resultType="com.mk.study.Team">
select * from team where ${column}=${columnValue}
</select>
3. 测试
@Test
public void demo8(){
TeamDao mapper = MybatisUtil.getOpenSession().getMapper(TeamDao.class);
List<Team> lists = mapper.queryByColumn("id", "1");
lists.forEach(list -> System.out.println(list));
}
结果:
where 查询条件后为 1 数据,那么我们可以进行拼接SQL语句进行SQL注入,导数数据不安全
测试 ${} 和#{} 下使用SQL注入
- ${} 测试
1. Mapper接口
List<Team> queryByColumn(@Param("column") String column,@Param("columnValue") String columnValue);
2. Mapper映射文件
<select id="queryByColumn" resultType="com.mk.study.Team">
select * from team where ${column}=${columnValue}
</select>
3. 测试
@Test
public void demo8(){
TeamDao mapper = MybatisUtil.getOpenSession().getMapper(TeamDao.class);
List<Team> lists = mapper.queryByColumn("id", "100 or 1=1");
lists.forEach(list -> System.out.println(list));
}
结果:
当我们在where查询条件后 拼接 一个 or 1=1 我们来看一下结果,本应该是查不到id=100,但是我们在后面拼接了SQL,查询结果把数据库中的数据全部查询出来,导致数据的不安全
2. #{} 测试,我们还是使用上面的测试代码进行测试#{}
1. Mapper接口
List<Team> queryByColumn(@Param("column") String column,@Param("columnValue") String columnValue);
2. Mapper映射文件
<select id="queryByColumn" resultType="com.mk.study.Team">
select * from team where ${column}=#{columnValue}
</select>
3. 测试
@Test
public void demo8(){
TeamDao mapper = MybatisUtil.getOpenSession().getMapper(TeamDao.class);
List<Team> lists = mapper.queryByColumn("id", "100 or 1=1");
lists.forEach(list -> System.out.println(list));
}
结果:查不出来数据,当查询时使用了 #{} 的where条件是 where id=“1 or 1=1” 数据库表中属性字段id是不存在这个数据的
1.2 #{}和${}如何选择
如果需要SQL语句的 关键字 放到SQL语句中,只能使用${},因为#{}是以值的形式放入到SQL语句当中的,并且带引号
使用#{}传入 关键字 会报SQL语法错误。
1.3 减少代码重复率(使用不多)
1. 当我们有多个Mapper接口进行查询时,如果只有查询的属性字段不同,会造成代码重复率较高
2. ${}还可以表示字符串原样替换,通知Mybatis 使用$包含的“字符串”替换所在位置。
1. 两个查询条件,发现除了查询的字段属性不同外,其余一模一样
select * from team where id=#{id}
select * from team where name=#{name}
2. 改进
3. Mapper接口
List<Team> queryByColumn(@Param("column") String column,@Param("columnValue") String columnValue);
4. Mapper映射文件
<select id="queryByColumn" resultType="com.mk.study.Team">
select * from team where ${column}=#{columnValue}
</select>
5. 测试
@Test
public void demo8(){
TeamDao mapper = MybatisUtil.getOpenSession().getMapper(TeamDao.class);
List<Team> lists = mapper.queryByColumn("id", "1");
List<Team> lists2 = mapper.queryByColumn("name", "张三");
System.out.println("id查询的数据");
lists.forEach(list -> System.out.println(list));
System.out.println("name查询的数据");
lists2.forEach(lists22 -> System.out.println(lists22));
}
结果:
我们发现 当我们查询条件改成 ${Column}=#{ColumnValue}时,查询的字段随着我们的更改SQL也进行了更改
总结
提示:完结!!!