sql防注入 | 底层 | jdbc类型转换 | 当简单类型参数 | |
$ | 不防止 | Statment | 不转换 | value |
# | 防止 | preparedStatement | 转换 | 任意 |
除模糊匹配外,杜绝使用${}
MyBatis教程,大家可以借鉴
MyBatis 教程_w3cschoolMyBatis 是支持定制化 SQL、存储过程以及高级映射的优秀的持久层框架。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。_来自MyBatis 教程,w3cschool编程狮。https://www.w3cschool.cn/mybatis/
主要区别
1、#{} 是预编译处理,${} 是直接替换;
2、${} 存在SQL注入的问题,而 #{} 不存在;
#{} 是预编译处理,像传进来的数据会加个" "(#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号)
${} 就是字符串替换。直接替换掉占位符。$方式一般用于传入数据库对象,例如传入表名.
使用 ${} 的话会导致 sql 注入。什么是 SQL 注入呢?
比如 select * from user where id = ${value} value 是一个数值。
如果对方传过来的是 001 and name = tom。这样就相当于多加了一个条件,把SQL语句直接写进来了。如果是攻击性的语句,则会导致数据库损坏。
所以为了防止 SQL 注入,能用 #{} 的不要去用 ${}。如果非要用 ${} 的话,那要注意防止 SQL 注入问题,可以手动判定传入的变量,进行过滤,一般 SQL 注入会输入很长的一条 SQL 语句。
like模糊查询
${} 进行模糊查询(存在 SQL 注入问题)
方式一:直接替换
<select id="getUserById" resultType="com.by.pojo.User">
select * from user where username like '%${key}%'
</select>
方式二:使用concat进行字符串拼接
<select id="getUserById" resultType="com.by.pojo.User">
select * from user where username like concat('%', '${key}', '%')
</select>
#{} 模糊查询
<select id="getUserById" resultType="com.by.pojo.User">
select * from user where username like concat('%', #{key}, '%')
</select>
使用 #{} 传入的参数会自带引号
<select id="getUserById" resultType="com.by.pojo.User">
select * from user where username like concat('%', #{key}, '%')
</select>
目标sql 语句:select * from user where username = '%张%';
实际sql语句:select * from user where username = '%' 张 '%';