mybatis中#与$的区别

mybatis中#与$的区别

MyBatis中使用parameterType向SQL语句传参，parameterType支持的类型可以是基本类型int、String、Array、Map、List和java自定义类型。

在SQL中引用这些参数的时候，可以使用两种方式：
#{parameterName}
${parameterName}

一、两种引用参数SQL语句区别

使用#{parameterName}引用参数的时候，Mybatis会把这个参数认为是一个字符串，并自动加上' '，例如传入参数是“Smith”，那么在下面SQL中：

Select * from emp where name = #{employeeName}

使用的时候就会转换为：

Select * from emp where name = 'Smith'; 

使用${parameterName}的时候在下面SQL中:

Select * from emp where name = ${employeeName}

就会直接转换为：

Select * from emp where name = Smith

结论：#相当于对数据加上双引号，$相当于直接显示数据

二、两种引用参数安全区别

mybatis在处理#{}时，意味着使用的预编译的语句，即在使用jdbc时的preparedStatement时，sql语句中的参数会用?作占位符，调用PreparedStatement的set方法来赋值，可以防止sql注入。

mybatis在处理${}时，就是把${}替换成变量的值。

使用#{}可以有效的防止SQL注入，提高系统安全性。原因在于：预编译机制。
预编译是提前对SQL语句进行预编译，而其后注入的参数将不会再进行SQL编译。我们知道，SQL注入是发生在编译的过程中，因为恶意注入了某些特殊字符，最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。预编译完成之后，SQL的结构已经固定，即便用户输入非法参数，也不会对SQL的结构产生影响，从而避免了潜在的安全风险。

三、分别使用#和$看看是否可以防止SQL注入

${} SQL注入：

  
        select * from USER where userName='${userName}' and userPassword =#{userPassword};
  

结果：

==>  Preparing: select * from USER where userName='' OR 1=1 OR '' and userPassword =?; 
==>  Parameters: ' OR 1=1 OR '(String), 123(String)
 <==  Total: 2

结论：只要我们在 ${} 输入 ' OR 1=1 OR ' 无论后面的密码输入什么都可以，查询到数据，这种情况就是SQL注入。

#{} 防止SQL注入

  
        select * from USER where userName=#{userName} and userPassword =#{userPassword};
  

结果：

 ==>  Preparing: select * from USER where userName=? and userPassword =?; 
 ==>  Parameters: ' OR 1=1 OR '(String), 123(String)
 <==  Total: 0

结论：上面预编译SQL的参数已经由占位符 { ？} 代替，所以传入的 ' OR 1=1 OR ' 只会作为 userName字段的值，而不会拼入执行的SQL。这样就达到了防止SQL注入的目的。

四、何时使用#{}，何时使用${}?

大多数情况下还是经常使用#{}，一般能用#{}的就不用${}。
既然#{}有预编译功能，能防止sql 注入，那为什么还要使用${}呢？请看下面sql语句能用#{}传递参数吗？

SELECT * FROM #{tableName};

假如tableName传入的值是user，那么解析后的sql是这样的：

SELECT * FROM  'user';

到mysql控制台试一下，会报1064错误，这种情况下就必须使用${}传参：

SELECT * FROM ${tableName};

解析后的sql可以正常执行：

SELECT * FROM  user;

凡是sql中不能添加引号的值动态传参时都必须使用${},像order by，group by等。