#{}和${}的区别
1、概念
-
#{} :
-
MyBatis 在处理 #{} 时,会将 SQL 中的***#{} 替换为 ?***
-
预编译 SQL,通过 PreparedStatement 的 setXxxx 的方法进行参数赋值。
-
使用 #{} 可以有效地防止 SQL 注入。
-
-
${}
- MyBatis 在处理 ${} 时,会直接把*** ${} 替换为参数值***,
- 存在 SQL 注入的风险。
-
#{} 比 ${} 安全,但还是提供了 ${} 这种动态替换参数的方式,是因为有些复杂的 SQL 使用场景通过预编译的方式比较麻烦,且在代码中完全可以做到控制非法参数,有些参数可能是一些常量或字段值。
PS:
SQL 注入是在编译的过程中,注入了某些特殊的恶意 SQL 片段,被编译成了恶意的 SQL 执行操作。
***预编译***是提前对 SQL 进行编译,后面注入的参数不会对 SQL 的结构产生影响,从而避免安全风险。
2、例子
xml中:
<select id="selectByIdAndLeixing" resultType="com.jcl.pojo.LeiXing">
select * from lei_xing where id = ${idddddd} and leixing = #{leixinggggg}
</select>
测试类:
@Test
public void Test4(){
SqlSession sqlSession = MybatisUtils.getSqlSession();
LeiXingMapper leiXingMapper = sqlSession.getMapper(LeiXingMapper.class);
leiXingMapper.selectByIdAndLeixing(1,"动画");
sqlSession.commit();
sqlSession.close();
}
结果:
Setting autocommit to false on JDBC Connection [com.mysql.cj.jdbc.ConnectionImpl@18920cc]
> Preparing: select * from lei_xing where id = 1 and leixing = ?
> Parameters: 动画(String)
< Columns: id, leixing
< Row: 1, 动画
<== Total: 1
可以看出使用${} 的sql语句变成了参数值,而使用#{}的sql变成了?