MyBatis 中#{}和${}区别

MyBatis 中#{}和${}区别

  1. #{} 是预编译处理,像传进来的数据会加个" "(#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号)
  2. ${} 就是字符串替换。直接替换掉占位符。而且此方式一般用于传入数据库对象或者做些字符串的拼接时,例如传入表名、字段名、Order by的字段时通过param传入时等情况.

使用 ${} 的话会导致 sql 注入。什么是 SQL 注入呢?比如 select * from user where id = ${value}

value 应该是一个数值吧。然后如果对方传过来的是 001 and name = tom。这样不就相当于多加了一个条件嘛?把SQL语句直接写进来了。如果是攻击性的语句呢?001;drop table user,直接把表给删了

所以为了防止 SQL 注入,能用 #{} 的不要去用 ${}

如果非要用 ${} 的话,那要注意防止 SQL 注入问题,可以手动判定传入的变量,进行过滤,一般 SQL 注入会输入很长的一条 SQL 语句

  1. 什么时候用$,什么时候 用 #

(1)对于变量部分, 应当使用#, 这样可以有效的防止sql注入,具体执行时,# 都是用到了prepareStement,这样对效率也有一定的提升。
#方式一般用于传入插入/更新的值或查询/删除的where条件

(2) ${}只是简单的字符拼接而已,对于非变量部分, 那只能使用它, 实际上, 在很多场合,它也是有很多实际意义的

         $方式一般用于传入数据库对象.例如传入表名.

         例如:

         select  *  from  $tableName$  对于不同的表执行统一的查询

         update  $tableName$  set  name = #name#  每个实体一张表,改变不用实体的状态

         特别说明, $只是字符串拼接,所以要特别小心sql注入问题。

(3)能同时用#和$的时候最好用#

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值