Mybatis中#{}和${}區(qū)別
點(diǎn)擊上方“IT那活兒”���,關(guān)注后了解更多內(nèi)容��,不管IT什么活兒��,干就完了?。��?!
Mybatis中#{}和${}是傳遞查詢參數(shù)的兩種方式,首先看下他們的使用方式�����,這里以查詢姓名中包含字符“J”的數(shù)據(jù)列表為例��。
現(xiàn)有一張User表,結(jié)構(gòu)和數(shù)據(jù)如下:
定義Dao接口:
定義Mapper文件:
執(zhí)行單元測(cè)試:
查看結(jié)果,兩種方式都查詢出了兩條記錄����,都實(shí)現(xiàn)了需求����。
#{}和${}雖然都能實(shí)現(xiàn)查詢,但區(qū)別還是有的��,最大區(qū)別是${}方式可能導(dǎo)致SQL注入問題���。
看個(gè)例子,把上面的查詢條件改動(dòng)下�,在條件后加入 or 1=1 -- ,再分別看下結(jié)果��。
修改查詢條件:
查看執(zhí)行結(jié)果���,可以看到#{}方式查詢結(jié)果為0條�����,${}方式查出了所有記錄���。
細(xì)思極恐啊,如果采用${}方式執(zhí)行update或delete操作�����,那整張表數(shù)據(jù)都會(huì)受到影響。
查看mysql執(zhí)行l(wèi)og日志��,拿到兩種方式執(zhí)行的sql語句如下:
對(duì)比發(fā)現(xiàn)���,雖然兩種方式查詢條件傳入的字符串一樣��,但是Mysql執(zhí)行時(shí)生成的語句并不一樣���,${}是字符串替換,而#{}是預(yù)處理�,預(yù)處理時(shí)會(huì)對(duì)特殊字符進(jìn)行轉(zhuǎn)義操作。
Mybatis在處理${}時(shí)����,就是把${}值直接替換成變量值。而在處理#{}時(shí)���,會(huì)對(duì)sql語句進(jìn)行預(yù)處理����,將sql中的#{}替換為?號(hào)��,調(diào)用PreparedStatement的set方法來賦值。
因此��,使用#{}可以有效的防止SQL注入�����,提高系統(tǒng)安全性�。
我們已經(jīng)知道#{}可以有效的防止SQL注入,那為什么還要有${}方式呢����?
既然存在���,那肯定有用武之地�����,${}采用字符串拼接方式�����,還是舉個(gè)例子來介紹它的使用場景�����。
例如����,針對(duì)查詢時(shí)表名不確定的情況,需要在查詢時(shí)將表名通過參數(shù)傳遞進(jìn)來�,分別使用兩種方式測(cè)試下。
Mapper文件如下:
執(zhí)行單元測(cè)試:
查看結(jié)果����,${}方式可以查詢出結(jié)果,而#{}方式拋出異常��,這種情況下只能選擇${}方式查詢��。
#{}針對(duì)輸入字符串進(jìn)行了轉(zhuǎn)義過濾處理����,能夠防止SQL注入,適用于給SQL語句的where條件傳值的使用場景�;
${}設(shè)計(jì)就是用于參與SQL的語法生成,適用于需要通過傳遞值來拼接SQL語句的場景��。
本文來源:IT那活兒(上海新炬王翦團(tuán)隊(duì))
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/129579.html
