1、#{}和${}的区别:
(1)#{}
<select id="getId" resultType="User" parameterType="int">
select id,name from user where id=
#{id}
</select>
打印的sql语句为:
select id,name from user where id=?
(2)${}
<select id="getId" resultType="User" parameterType="int">
select id,name from user where id=
${id}
</select>
如果id值为8,打印的语句为:
select id,name from user where id=8
总结:#{}是经过预编译的,是安全的;${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。
2、防止sql注入解决办法
(1)使用#{},尽量不使用${}。
(2)涉及到动态表名和列名时,只能使用“${xxx}”这样的参数格式。需要我们在代码中手工进行处理来防止注入。
(3)手工处理防止sql方法:
a、判断一下输入的参数的长度是否正常,注入语句一般会很长。
b、查询一下参数是否在预期参数集合中。
3、like,模糊查询,防止SQL注入
(1)Mysql: select * from user where name like concat('%', #{name}, '%')
(2)Oracle: select * from user where name like '%' || #{name} || '%'
(3)SQLServer: select * from user where name like '%' + #{name} + '%'