0
点赞
收藏
分享

微信扫一扫

Mybatis占位符 #与占位符$区别

Sky飞羽 2022-01-24 阅读 33

#{}速度快,能防止sql注入,是占位符方式,先预编译,然后填充参数,字符串格式,用户名=(___),参数只是下划线上的内容
${}是直接拼接到语句上,这种方式需要自己拼括号和参数,但是也可以拼接想执行的任何语句,也就是传说中的sql注入
详情如下

在MyBatis中使用参数进行SQL拼装经常会使用到#{var}和${var}两种参数的设置方式。下面是两种方式的不用之处:

#{var}

  • 使用预编译的方式将参数设置到SQL语句中(相当于占位符?)。
  • 使用原生JDBC中的prepareStatrment。
  • 在一定程度上防止SQL注入的风险(无法避免%的问题)。

${var}

  • 不适用预编译模式。
  • 取出相应的值直接拼装到SQL语句当中。
  • 会有SQL注入的安全问题。
  • ${var} 的变量的替换阶段是在动态SQL解析阶段,而#{var}的变量的替换是在DBMS中。

#{var}取值是编译好SQL语句再取值。#{var}将传入的数据都当成一个字符串,对自动传入的数据加一个双引号。
如:order by #{id},传入的值为abc,解析后的SQL为order by ‘abc’。
v a r 是 取 值 以 后 再 去 编 译 S Q L 语 句 。 {var}是取值以后再去编译SQL语句。 varSQL{var}将传入的数据直接显示生成在SQL中,参数不带引号。
如:order by ${id},传入的值为abc,解析后的SQL为order by 'bc。

在原生JDBC不支持占位符的地方,就不能使用#{var}的形式去进行取值,会导致执行SQL的时候报错。比如数据库表名、排序方式等特殊情况, 都需要使用${var}的形式直接取值。
SELECT xxx FROM ${tableName} WHERE id = #{id} order by ${columnName} ${order}

举报

相关推荐

0 条评论