在mybatis中有两种占位符,一种是#{},另一种是${},那么这两种占位符有什么区别呢?
#{}解析传递进来的参数数据
${}对传递进来的参数原样拼接在SQL中
#{}的SQL是这样的: ==> Preparing: select T_Id, T_direction, T_courses, T_contents, T_teacher, T_class_type, T_remark, T_enable, Creator, Create_time, Updater, Update_time, Deleter, Delete_time from training_course_info where T_Id = ?
==> Parameters: 001(String)、
${}的SQL是这样的: ==> Preparing: select T_Id, T_direction, T_courses, T_contents, T_teacher, T_class_type, T_remark, T_enable, Creator, Create_time, Updater, Update_time, Deleter, Delete_time from training_course_info where T_Id = '001'
这里需要注意的是,使用${}是原样拼接,如果传参是字符串时需要 ‘${}’,左右两边需要单引号
一般我们不推荐使用${},因为可能会被恶义SQL语法注入实例
实例一
Stringsql=“select * from tb_name where name=’”+varname+"‘andpasswd=’"+varpasswd+"’";
如果我们把[‘or’1’='1]作为varpasswd传入进来.用户名随意,看看会成为什么?
select * fromtb_name = 随意’ and passwd = ‘‘or’ 1’=‘1’;
因为’1’='1’肯定成立,所以可以任何通过验证
实例二
select * from ${tableName} where name = #{name}
在这个例子中,如果表名为
user; delete user; –
则动态解析之后 sql 如下:
select * from user; delete user; – where name = ?;
–之后的语句被注释掉,而原本查询用户的语句变成了查询所有用户信息+删除用户表的语句,会对数据库造成重大损伤,极大可能导致服务器宕机。