- #{}:预编译处理,类似于占位符。
- ${}:字符直接替换
预编译处理:Mybatis在处理#{}时候,会将SQL中的#{}转换为?,使⽤ PreparedStatement 的 set ⽅法来赋值。
直接替换:是MyBatis 在处理 ${} 时,就是把 ${} 替换成变量的值。
举个例子:
#{}传过来的效果等价于:
${}传过来的效果等价于:
通过${}传递的参数直接放在SQL中,替换为变量的值,会被当成表中的列,所以直接报错。
可以通过加 "来实现${} 的正确结果使用。即
这样就能实现和 #{} 一样的预处理功能了。只不过很少这样用,因为#{} 更加方便,而且更加安全。
SQL注入
${} 中字符的内容,直接被当作SQL的一部分来运行了,这样的现象也称为SQL注入。我们在添加引号的时候,很可能也出现SQL注入。因此,一般不使用。
SQL注入会影响程序的安全,
SQL注入代码: ' or 1='1
演示SQL注入
那么我们就不会使用${}吗?
当然不会,既然存在自然是有他的用武之地的,下边我们来看${}的使用场景。
$的使用场景
使⽤ ${sort} 可以实现排序查询,⽽使⽤ #{sort} 就不能实现排序查询了,因为当使⽤ #{sort} 查询时, 如果传递的值为 String 则会加单引号,就会导致 sql 错误。
用# 实现排序:
我们看到结果报错,所以排序的时候只能用$.
$排序时的SQL注入问题
我们上边看到 $ 的主要一个弊端就是SQL注入,而我们的排序时候又只能使用$,那么排序时候的SQL注入怎么解决呢?
在排序时,为了防止用户的恶意SQL,我们可以设置按钮封装,用户只能对正序逆序进行点击,参数由程序员来拼接,后端在查询之前对参数进行校验,只能传入两个值:desc 和 asc.
like使用#会报错
SQL中的模糊查询,也只能用$,如下:
但是,同样,这里也存在SQL注入的问题,只要应用$,都要解决SQL注入的问题。
在这里这个问题比较难解决。
所以我们用另一种方式,用到一个mysql 的一个内置函数: concat(str1,str2,str3....)
concat(str1,str2...) + #
