面试中常问的mybatis的xml文件传参数$与#的区别
区别一:#传过来的数据会自动加上引号,$则不会;
区别二: ${} 容易被sql注入,#{} 安全,
安全问题怎么理解?
#{ }:解析为一个 JDBC 预编译语句(prepared statement)的参数标记符。#{} 相当于一个占位符,使用占位符,防止sql注入。
${}:取出的值会直接拼装在sql中,会有安全问题。
demo:
下面我们来看下实际操作中这两中方式的区别吧!
select * from student where student_name = #{name}
select * from student where student_name = ${name}
- 若name 传值为"小明"
执行过程中:
-- #{} 预编译先生成占位符
Preparing: select * from student where student_name = ?
Parameters: 小明(String)
-- ${} 传参直接参与sql编译
- 若name传值为"小明 and id = 1"
-- #{} 预编译先生成占位符
Preparing: select * from student where student_name = ?
Parameters: 小明 and id = 1(String)
即: 查不到结果而已
select * from student where student_name = "小明 and id = 1"
-- ${} 传参直接参与sql编译 然而这个sql根本不是你原来的意思,而且此处sql还报错,如果不是字符串类型其他类型想想都可怕,查到了以外的结果,这就是sql注入
--
select * from student where student_name = 小明 and id = 1
总结:
能使用 ${ } 的地方就能用 #{ }
表名作为变量时,必须使用 ${ }