欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

MyBatis中#{ }和${ }的区别

程序员文章站 2022-07-14 11:18:10
...
一、结论
  • #{ }:预编译占位符 ?,防止sql注入,会在参数两端加上单引号 ’ ’
  • ${ }:sql拼接符号,如表名必须用这个
  • #{ } 变量的替换是在 DBMS 中, ${ } 变量的替换阶段是在动态 SQL解析阶段
  • 只要能够使用#{ }解决的地方,我们都应该使用#{ }
二、细节
1、 #{ }
  • 被解析为一个 JDBC 预编译语句(prepared statement)的参数占位符 ? 会在参数两端加上单引号 ’ ’ ;
  • 防止注入式攻击,所以只要能够使用#{ }解决的地方,我们都应该使用#{ }
select * from user where name = #{name};
select * from user where name = ?;

select * from user where name = ${name};
select * from user where name = 'Joyce';
2.${ }
  • 是单纯的字符串拼接,拼接完成后才会对SQL进行编译、执行,所以性能较低 ,且不能复用
  • 由于表名不能加单引号,所以不能使用#{ }。这时候就需要使用${ }来进行字符串拼接。

${ } 在预编译之前已经被变量替换了,这会存在 sql 注入问题。例如:

select * from ${tableName} where name = #{name}

假如,我们的参数 tableName 为" user; delete user; – ",那么 SQL 动态解析阶段之后,预编译之前的 sql 将变为:

select * from user; delete user; -- where name = ?;

–之后的语句被注释掉,而原本查询用户的语句变成了查询所有用户信息+删除用户表的语句,会对数据库造成重大损伤。

重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查

相关标签: MyBatis