1、#{}是预编译处理,MyBatis在处理#{ }时,它会将sql中的#{ }替换为?,可以防止sql注入,然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号,如上面的值 “4,44,514”就会变成“ ‘4,44,514’ ”;
2、是 字 符 串 替 换 , 在 处 理 是 字 符 串 替 换 , M y B a t i s 在 处 理 时 , 它 会 将 s q l 中 的 {}是字符串替换,在处理{ }是字符串替换, MyBatis在处理{ }时,它会将sql中的是字符串替换,在处理是字符串替换,MyBatis在处理时,它会将sql中的{ }替换为变量的值,传入的数据不会加两边加上单引号。
注意:使用${ }会导致sql注入,不利于系统的安全性!SQL注入:就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。常见的有匿名登录(在登录框输入恶意的字符串)、借助异常获取数据库信息等
3. #方式能够很大程度防止sql注入
4.$方式无法防止Sql注入
5.一般用于传入数据和表名
6.一般能用#的就别用$.
MyBatis排序时使用order by 动态参数时需要注意,用$而不是#
字符串替换
默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用:
ORDER BY ${columnName}
这里MyBatis不会修改或转义字符串。
重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。
7、#{} 和 ${} 的实例:假设传入参数为 1
(1)开始
1)#{}:select * from t_user where uid=#{uid}
2) : s e l e c t ∗ f r o m t u s e r w h e r e u i d = ′ {}:select * from t_user where uid= ' :select∗fromtuserwhereuid=′{uid}’
(2)然后
1)#{}:select * from t_user where uid= ?
2)${}:select * from t_user where uid= ‘1’
(3)最后
1)#{}:select * from t_user where uid= ‘1’
2)${}:select * from t_user where uid= ‘1’