MyBatis使用#{ }防止SQL注入

版权声明:技术交流 自由共享 任意转载 侵权不究 https://blog.csdn.net/w05980598/article/details/79440854

Mybatis 的Mapper.xml语句中parameterType向SQL语句传参有两种方式:#{}和${}。常见是使用#{ }来防止SQL注入,这里又设计jdbc的预处理机制

两者的区别:

当使用 #{}的时候

select * from user where name = #{name}; 

#{} 在动态解析的时候, 会解析成一个参数标记符。就是解析之后的语句是:

select * from user where name = ?; 


当使用 ${}的时候

select * from user where name = ${name}; 

${}在动态解析的时候,会将我们传入的参数当做String字符串填充到我们的语句中,就会变成下面的语句

select * from user where name = "dato"; 

预编译之前的 SQL 语句已经不包含变量了,完全已经是常量数据了。相当于我们普通没有变量的sql了。


结论:

#{} 这种取值是编译好SQL语句再取值
${} 这种是取值以后再去编译SQL语句
  • #{}方式能够很大程度防止sql注入。
  • $方式无法防止Sql注入。
  • $方式一般用于传入数据库对象,例如传入表名.
  • 一般能用#就用$.


展开阅读全文

没有更多推荐了,返回首页