MyBatis中${}和#{}的区别
2023-12-19 21:37:12
//${} 是字符串直接替换;${} 存在SQL注入的问题;
//#{} 是预编译处理;而 #{} 不存在SQL注入问题;
一,预编译处理与字符串直接替换
预编译处理:
????????预编辑处理:是指 MyBatis 在处理 #{} 时,就是把 #{} 替换成了 ?号,使用 PreparedStatement 的 set 方法来赋值。也就是说 #{} 会把 {} 内的整体看成 value ,最后再给 value 加上单引号,重点强调引号内部是一个整体( #{} 不会发生 SQL 注入的根本原因)。
字符串直接替换
????????是指 MyBatis 在处理 ${} 时,会把 ${} 替换成变量的值(不会加引号处理)。
模糊匹配:
????????${} 可以直接进行模糊查询(但不建议,存在 SQL 注入问题);
????????#{} 不可以直接进行模糊查询,但可以通过 mysql 内置函数 concat() 实现模糊查询(不存在 SQL 注入问题);
解释:
当你想输入以下代码时
select * from user where username = '%abc%';
使用#{}会进行预编译,自动加引号处理,于是就变成了
select * from user where username = '%' abc '%';
而用${}时,是直接替换,使用以下代码即可
select * from userinfo where username like '%${key}%'
使用#{}时可以使用concat()方法连接
select * from userinfo where username like concat('%', '${key}', '%')
排序查询
使用 ${} 可以实现排序查询,而 #{} 不可以实现排序查询,因为使用 #{} 查询时,如果传递的值为 String 就会加单引号,导致 sql 错误。
如果你想输入以下代码:
select * from userinfo order by id desc;
使用#{}会有以下效果:
select * from userinfo order by id ‘desc’
结论:除了模糊匹配,杜绝使用${}
文章来源:https://blog.csdn.net/m0_74007708/article/details/135093018
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!