Mybatis中${}和#{}的区别

在Mybatis的mapper.xml语句中,parameterType向SQL语句传参由两种方式:${}和#{},我们经常使用的是#{},一般来说因为这种方式可以防止SQL注入,简单的说#{}这种方式的SQL是经过预编译的,------将#{}中间的参数转义为字符串:
例如执行下面的语句:
#{}
查询年龄为20的用户

select * from User where age=#{age};

解预编译之后的sql就变成了

select* from User where age=“20"

${}

select * from User where age=${age};

解析之后的sql就变成了

select  * from User where age=20;

接着下面一个例子,更加深入彻底理解:
查询名字为cc的用户信息

${}

select * from User where  name=${name}

若该传入的name为"‘cc’or ‘aa’"该执行语句就变成了

select * from User where  name=‘cc'or name= 'aa'

这样会执行成功,但同时也造成了sql注入
紧接着使用#{}看看

select * from User where  name=${name}

进行预编译时就变成了这样,所以无法执行成功

select * from User where  name=”‘cc'or name= 'aa'“

很明显该无法执行成功,会出错,所以这就防止了sql注入的风险
总结:
1#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号.
如:age=#{age},如果传入的值是11,那么解析成sql时的值为name=“11”, 如果传入的值是age,则解析成的sql为name =“age”,预编译无误之后然后在进行执行

2$将传入的数据直接显示生成在sql中。如:age=${age},如果传入的值是11,那么解析成sql时的值为name=11, 如果传入的值是age,则解析成的sql为name =age
  
3 #方式能够很大程度防止sql注入。
  
4$方式无法防止Sql注入。

5$方式一般用于传入数据库对象,例如传入表名
  
6一般能用#的就别用$.同时,MyBatis排序时使用order by 动态参数时需要注意,用$而不是#

你可能感兴趣的:(Mybatis)