Java MyBatis 中 #{}和 ${}的区别是什么?

2023-12-17 09:41:20

Java MyBatis 中 #{}和 ${}的区别是什么?

在 MyBatis 中,#{} ${} 是两种不同的参数注入方式,主要区别在于参数的预处理和安全性。

#{} :预处理参数

  • #{} 用于预处理参数,会将参数值以预编译的形式传递给 SQL 引擎,防止 SQL 注入攻击。
<!-- 示例:使用#{}预处理参数 -->
<select id="getUserById" resultType="User">
    SELECT * FROM user WHERE id = #{userId}
</select>

在上面的例子中,#{userId} 会被 MyBatis 替换成 ?,然后在执行 SQL 语句时,将真正的参数值传递给 ? 进行预编译,这有助于防止 SQL 注入。

${}:直接拼接参数

  • ${} 用于直接拼接参数,将参数值直接替换到 SQL 语句中,不进行预处理。这样做可能会存在 SQL 注入的风险,因此要慎用。
<!-- 示例:使用${}直接拼接参数 -->
<select id="getUserByName" resultType="User">
    SELECT * FROM user WHERE name = '${userName}'
</select>

在上面的例子中,${userName} 会直接替换成实际的参数值,如果参数值包含恶意的 SQL 语句,可能导致 SQL 注入攻击。

区别总结:

  • #{} 用于预处理参数,安全性更高,可以防止 SQL 注入。
  • ${} 用于直接拼接参数,慎用,可能存在 SQL 注入的风险。

示例代码:

public interface UserMapper {
    // 使用#{}预处理参数
    @Select("SELECT * FROM user WHERE id = #{userId}")
    User getUserById(@Param("userId") int userId);

    // 使用${}直接拼接参数
    @Select("SELECT * FROM user WHERE name = '${userName}'")
    User getUserByName(@Param("userName") String userName);
}

上述示例代码展示了在 MyBatis 中使用 #{} ${} 的方式。通常建议使用 #{} 以提高安全性,防止 SQL 注入攻击。

文章来源:https://blog.csdn.net/sanmansan/article/details/134918006
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。