Mybatis 中使用 ${}和使用#{}

2022-11-22
陕西
本文字数：853 字
阅读完需：约 3 分钟

#{}：1.传入的参数在 SQL 中显示为字符串。2.方式能够很大程度防止 sql 注入

${}：1.传入的参数在 sql 中直接显示为传入的值。2.方式无法防止 Sql 注入。

1、使用 #{}

Mybatis 在对 #{}进行预处理时，会把 #{}处理成占位符，实际执行的时候才会把参数替换进去，相当于 jdbc 的 PreparedStatement。

<select id="select" parameterType="java.lang.String" resultType="baseMap">    select * from user where name = #{name}</select>

复制代码

上面这个配置实际打印出来的 sql 为

select * from user where name = ?

复制代码

这就告诉 MyBatis 创建一个预处理语句（PreparedStatement）参数，在 JDBC 中，这样的一个参数在 SQL 中会由一个“?”来标识，并被传递到一个新的预处理语句中，就像这样：

// 近似的 JDBC 代码，非 MyBatis 代码...String selectPerson = "select * from user where name = ?";PreparedStatement ps = conn.prepareStatement(selectPerson);ps.setString(1,name);

复制代码

这样有效的预防了 sql 注入。

2、使用 ${}

<select id="select" parameterType="java.lang.String" resultType="baseMap">    select * from user where name=${name}</select>

复制代码

上面这个配置实际打印出来的 sql 为

select * from user where name = name

复制代码

// 近似的 JDBC 代码，非 MyBatis 代码...String selectPerson = "SELECT * FROM PERSON WHERE ID=?";PreparedStatement ps = conn.prepareStatement(selectPerson);ps.setInt(1,id);

复制代码

${} 则只是简单的字符串替换，在动态解析阶段，该 sql 语句会直接将变量值替换进去，这样就有可能会发生 sql 注入的风险。

3、$和 #区别

1、#{}是一个占位符，${}只是普通传值

2、#{}在使用时，会根据传递进来的值来选择是否加上双引号，因此我们传递参数时一般都是直接传递，不用加双引号；${}则不会，我们需要手动加

3、在传递一个参数时，我们在 #{}中可以写任意值

4、#{}针对 SQL 注入进行了字符过滤，${}则只是作为普通传值，并没有考虑到这些问题

5、#{}的应用场景是为给 SQL 语句的 where 字句传递条件；${}的应用场景是为了传递一些需要参与 SQL 语句语法生成的值

发布于: 刚刚阅读数: 3

原文链接:【http://xie.infoq.cn/article/a7c8416e35ae5409f137a5486】。

@下一站

关注

懒人 2020-11-22 加入

懒人

发布

暂无评论

创作场景

Mybatis 中使用 ${}和使用#{}

@下一站

评论