mybatis中#和$的区别

1.#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号

例如:select * from user where name = #{name}; ,如果name参数传值为abc,那么会转义为:select * from user where name = 'abc';

          select * from user where name = ${name}; ,如果name参数传值为abc,那么会转义为:select * from user where name = abc;


2.MyBatis排序时使用order by 动态参数时需要注意,用$而不是#,$方式一般用于传入数据库对象,例如传入表名.或者order by 后的变量

例如:select * from table order by #{name};如果name参数为name,那么:select * from table order by 'name';

          select * from table order by ${name};如果name参数为name,那么:select * from table order by name;


3.#可以防止sql注入,$不能防止sql注入

(1)使用#{}格式的语法在mybatis中使用Preparement语句来安全的设置值(比如?),执行sql类似下面的:

PreparedStatement ps = conn.prepareStatement(sql);
ps.setInt(1,id);

这样做的好处是:更安全,更迅速,通常也是首选做法。

(2)使用${}时MyBatis 不会修改或转义字符串。

这种方式类似于:

    Statement st = conn.createStatement();
       
      ResultSet rs = st.executeQuery(sql);

这种方式的缺点是: 以这种方式接受从用户输出的内容并提供给语句中不变的字符串是不安全的,会导致潜在的 SQL 注入攻击,因此要么不允许用户输入这些字段,要么自行转义并检验。


你可能感兴趣的:(java)