面试常问:通过代码实践理解mybatis中的#和$区别及联系,一定要正确使用

在mybatis的mapper.xml中,入参我们可以用#和$符号来取,那么,这两个有什么区别及联系呢,常说$容易带来sql注入风险,到底是怎么样的呢?今天,直接通过代码实践,看看两者有什么区别。

测试数据为:

 1:通过#取值,入参为studentId,代码如下:

<mapper namespace="com.example.demo.DAO.HelloWorldDAO">
    <select id="query" parameterType="String" resultType="student">
        select * from student where studentId = #{studentId}
    </select>
</mapper>

1)入参studentId如下图所示:

运行返回结果为:

2)入参studentId如下图所示:

运行返回结果为:

2:通过$取值,入参为studentId,代码如下:

<mapper namespace="com.example.demo.DAO.HelloWorldDAO">
    <select id="query" parameterType="String" resultType="student">
        select * from student where studentId = ${studentId}
    </select>
</mapper>

1)入参studentId如下图所示:

运行结果如下图:

2)入参studentId如下图所示:

运行返回结果如下图:结果跟预期的不同

以上测试了四种场景,可以看到其中三种场景结果跟预期相同。当用$取值,我们看到入参studentId=“15 or 1=1”的时候,竟然返回了表的全部数据,表中studentId没有为这个值的啊。出现这个结果,就是我们常说的sql注入,通过一些恶意的命令,破坏数据、获取关键信息等。那么,我们应该如何避免这种现象的发生呢?小伙伴看到了上面当用#取值时,即使拼接恶意命令,对返回的数据没有影响,完成了正确的响应,有效的避免了sql注入的风险。

既然$取值的时候,存在sql注入风险,那么$什么时候可以用呢?like模糊查询、order by等场景可用$取值。

总结:1:#可以有效的防止sql注入,$不能防止sql注入;

           2:#预编译是采用占位符的方式?,$则是字符串值替换。

知识就是要不断的学习,不断的复习,才会记忆的更加的深刻。加油,美好的风景一直在路上。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值