在MyBatis中有两种参数映射的方式
1、#{}
它会在MyBatis 创建 PreparedStatement 参数并安全地设置参数(就像使用 ? 一样)。
MyBatis官方例子:
<select id="selectPerson" parameterType="int" resultType="hashmap">
SELECT * FROM PERSON WHERE ID = #{id}
</select>
在MyBatis内部相当于是做了个这样的操作:
String selectPerson = "SELECT * FROM PERSON WHERE ID=?";
PreparedStatement ps = conn.prepareStatement(selectPerson);
ps.setInt(1,id);
相信对PreparedStatement 比较熟悉的人也就明白了,为什么用#{}可以防止SQL注入了。
可以参考本人的另一篇文章为什么PreparedStatement可以防止SQL注入。
2、${}
它相当于是字符串替换,使用这个符号时,MyBatis 不会修改或转义字符串。
在MyBatis动态解析的时候,会将${}的参数对应的值当成一个字符串直接替换到SQL语句中。
例如:
<select id="selectPerson" parameterType="int" resultType="hashmap">
SELECT * FROM PERSON WHERE ID = ${id}
</select>
为什么说这种方式不安全,有可能会导致SQL注入攻击?
请看下面这个例子:
假设id的值为"test",经过解析后,SQL语句如下:
SELECT * FROM PERSON WHERE ID = 'test'
如果id的值为"'test' or 1=1",经过解析后,SQL语句如下:
SELECT * FROM PERSON WHERE ID = 'test' or 1=1
这样的话,除非这个表没有值,不然都能查询出数据。
如果把id的值换成删表的操作、或者其它的对数据库结构或数据有影响的操作呢?