#{}和${}的区别

#{}和${}的区别

1、概念

  • #{} :

    • MyBatis 在处理 #{} 时,会将 SQL 中的***#{} 替换为 ?***

    • 预编译 SQL,通过 PreparedStatement 的 setXxxx 的方法进行参数赋值。

    • 使用 #{} 可以有效地防止 SQL 注入。

  • ${}

    • MyBatis 在处理 ${} 时,会直接把*** ${} 替换为参数值***,
    • 存在 SQL 注入的风险
  • #{} 比 ${} 安全,但还是提供了 ${} 这种动态替换参数的方式,是因为有些复杂的 SQL 使用场景通过预编译的方式比较麻烦,且在代码中完全可以做到控制非法参数,有些参数可能是一些常量或字段值。

PS:

SQL 注入是在编译的过程中,注入了某些特殊的恶意 SQL 片段,被编译成了恶意的 SQL 执行操作。

***预编译***是提前对 SQL 进行编译,后面注入的参数不会对 SQL 的结构产生影响,从而避免安全风险。

2、例子

xml中:

<select id="selectByIdAndLeixing" resultType="com.jcl.pojo.LeiXing">
        select * from lei_xing where id = ${idddddd} and leixing = #{leixinggggg}
    select>

测试类:

 @Test
    public void Test4(){
        SqlSession sqlSession = MybatisUtils.getSqlSession();
        LeiXingMapper leiXingMapper = sqlSession.getMapper(LeiXingMapper.class);

        leiXingMapper.selectByIdAndLeixing(1,"动画");
        sqlSession.commit();
        sqlSession.close();
    }

结果:

Setting autocommit to false on JDBC Connection [com.mysql.cj.jdbc.ConnectionImpl@18920cc]
> Preparing: select * from lei_xing where id = 1 and leixing = ?
> Parameters: 动画(String)
<
Columns: id, leixing
<
Row: 1, 动画
<== Total: 1

可以看出使用${} 的sql语句变成了参数值,而使用#{}的sql变成了?

你可能感兴趣的:(SSM,学习,java)