Sql中$和#号的区别,以及预编译的好处

 1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'.


 2 $是将传入的数据直接显示生成sql语句,eg:select id,name,age from student where id =${id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id = 1.

 #{}: 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符 。预编译的话sql语句的格式已经定义好了,缺的就是要传入进去的参数,所以可以防止sql注入

 ${}: 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。就比如说下面这条sql;

    eg:SELECT * FROM users WHERE name = `" + userName + "` and pw = `"+ passWord +"`;在userName和passWord地方需要传入用户名和密码进行替换,如果传入的用户名和密码是:userName = "1' OR '1'='1"; passWord = "1' OR '1'='1";这样的,那么这条sql就变成了:SELECT * FROM users WHERE name = '1' OR '1'='1' and pw = '1' OR '1'='1';如果用户名是正确还是错误,始终会为true;因此就可以跳过用户名和密码的验证.

 

发布了29 篇原创文章 · 获赞 5 · 访问量 6379
展开阅读全文

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 大白 设计师: CSDN官方博客

分享到微信朋友圈

×

扫一扫,手机浏览