Mybatis中#{}和${}區別
點擊上方“IT那活兒”��,關注后了解更多內容�����,不管IT什么活兒,干就完了?����。�。?/span>
Mybatis中#{}和${}是傳遞查詢參數的兩種方式,首先看下他們的使用方式����,這里以查詢姓名中包含字符“J”的數據列表為例�。
現有一張User表����,結構和數據如下:
定義Dao接口:
定義Mapper文件:
執行單元測試:
查看結果,兩種方式都查詢出了兩條記錄,都實現了需求�。
#{}和${}雖然都能實現查詢,但區別還是有的�,最大區別是${}方式可能導致SQL注入問題����。
看個例子��,把上面的查詢條件改動下�����,在條件后加入 or 1=1 -- ,再分別看下結果�����。
修改查詢條件:
查看執行結果���,可以看到#{}方式查詢結果為0條���,${}方式查出了所有記錄����。
細思極恐啊,如果采用${}方式執行update或delete操作��,那整張表數據都會受到影響��。
查看mysql執行log日志�,拿到兩種方式執行的sql語句如下:
對比發現�,雖然兩種方式查詢條件傳入的字符串一樣,但是Mysql執行時生成的語句并不一樣����,${}是字符串替換���,而#{}是預處理,預處理時會對特殊字符進行轉義操作�����。
Mybatis在處理${}時,就是把${}值直接替換成變量值����。而在處理#{}時�����,會對sql語句進行預處理,將sql中的#{}替換為?號��,調用PreparedStatement的set方法來賦值�。
因此,使用#{}可以有效的防止SQL注入�����,提高系統安全性�����。
我們已經知道#{}可以有效的防止SQL注入���,那為什么還要有${}方式呢����?
既然存在�,那肯定有用武之地,${}采用字符串拼接方式�����,還是舉個例子來介紹它的使用場景����。
例如���,針對查詢時表名不確定的情況����,需要在查詢時將表名通過參數傳遞進來,分別使用兩種方式測試下�����。
Mapper文件如下:
執行單元測試:
查看結果�,${}方式可以查詢出結果,而#{}方式拋出異常��,這種情況下只能選擇${}方式查詢���。
#{}針對輸入字符串進行了轉義過濾處理��,能夠防止SQL注入�����,適用于給SQL語句的where條件傳值的使用場景;
${}設計就是用于參與SQL的語法生成,適用于需要通過傳遞值來拼接SQL語句的場景���。
文章版權歸作者所有�,未經允許請勿轉載,若此文章存在違規行為��,您可以聯系管理員刪除。
轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/129579.html
