MyBatis与iBatis中#和$占位符的区别

iBatis

$value$

1. 没有进行预编译,直接将传入的参数替换value
2. 容易发生SQL注入

(没有对SQL进行预编译)
MyBatis与iBatis中#和$占位符的区别_第1张图片

student.xml中的SQL语句
MyBatis与iBatis中#和$占位符的区别_第2张图片


尝试进行sql注入
MyBatis与iBatis中#和$占位符的区别_第3张图片


(sql成功被注入)
MyBatis与iBatis中#和$占位符的区别_第4张图片




#value#

1. 会进行预编译成?占位符
2. 不会发生SQL注入

(SQL将参数预编译成?占位符)
MyBatis与iBatis中#和$占位符的区别_第5张图片


(Student.xml中的SQL语句)
MyBatis与iBatis中#和$占位符的区别_第6张图片


(尝试进行SQL注入)
MyBatis与iBatis中#和$占位符的区别_第7张图片


(sql注入失败)
MyBatis与iBatis中#和$占位符的区别_第8张图片

MyBatis

#{value} 

使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句中如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且在使用#{}时形成的sql语句,已经带有引号,例,select  * from table1 where id=#{id}  在调用这个语句时我们可以通过后台看到打印出的sql为:select * from table1 where id='2' 加入传的值为2.也就是说在组成sql语句的时候把参数默认为字符串。

${value}

使用${}时的sql不会当做字符串处理,是什么就是什么,如上边的语句:select * from table1 where id=${id} 在调用这个语句时控制台打印的为:select * from table1 where id=2 ,假设传的参数值为2

从上边的介绍可以看出这两种方式的区别,我们最好是能用#{}则用它,因为它可以防止sql注入,且是预编译的,在需要原样输出时才使用${},如,

select * from ${tableName} order by ${id} 这里需要传入表名和按照哪个列进行排序 ,加入传入table1、id 则语句为:select * from table1 order by id

如果是使用#{} 则变成了select * from 'table1' order by 'id' 我们知道这样就不对了。

 

另,在使用以下的配置时,必须使用#{}

在parameterType是int时,sql语句中必须是#{}。

你可能感兴趣的:(java,ibatis)