MyBatis中${}和#{}的区别

2023-12-19 21:37:12

//${} 是字符串直接替换;${} 存在SQL注入的问题;

//#{} 是预编译处理;而 #{} 不存在SQL注入问题;

一,预编译处理与字符串直接替换

预编译处理

????????预编辑处理:是指 MyBatis 在处理 #{} 时,就是把 #{} 替换成了 ?号,使用 PreparedStatement 的 set 方法来赋值。也就是说 #{} 会把 {} 内的整体看成 value ,最后再给 value 加上单引号,重点强调引号内部是一个整体( #{} 不会发生 SQL 注入的根本原因)。

字符串直接替换

????????是指 MyBatis 在处理 ${} 时,会把 ${} 替换成变量的值(不会加引号处理)。

模糊匹配

????????${} 可以直接进行模糊查询(但不建议,存在 SQL 注入问题);

????????#{} 不可以直接进行模糊查询,但可以通过 mysql 内置函数 concat() 实现模糊查询(不存在 SQL 注入问题);

解释:

当你想输入以下代码时

select * from user where username = '%abc%';

使用#{}会进行预编译,自动加引号处理,于是就变成了

select * from user where username = '%' abc '%';

而用${}时,是直接替换,使用以下代码即可

select * from userinfo where username like '%${key}%'

使用#{}时可以使用concat()方法连接

 select * from userinfo where username like concat('%', '${key}', '%')

排序查询

使用 ${} 可以实现排序查询,而 #{} 不可以实现排序查询,因为使用 #{} 查询时,如果传递的值为 String 就会加单引号,导致 sql 错误。

如果你想输入以下代码:

select * from userinfo order by id desc;

使用#{}会有以下效果:

select * from userinfo order by id ‘desc’

结论:除了模糊匹配,杜绝使用${}

文章来源:https://blog.csdn.net/m0_74007708/article/details/135093018
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。