【转载】mybatis中的#和$的区别
原文地址:https://blog.csdn.net/u012843873/article/details/80182981
简介
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。
动态 sql 是 mybatis 的主要特性之一,在mybatis中我们可以把参数传到xml文件,由mybatis对sql及其语法进行解析,mybatis支持使用${}和#{}。可能有些人没有留意到,认为${}和#{}的作用一样,其实他们的功能相似,但还是有区别的。
字符串替换
默认情况下,使用 #{} 格式的语法会导致 MyBatis 创建 PreparedStatement 参数并安全地设置参数(就像使用 ? 一样)。这样做更安全,更迅速,通常也是首选做法,不过有时你就是想直接在 SQL 语句中插入一个不转义的字符串。比如,像 ORDER BY,你可以这样来使用:
ORDER BY ${columnName}这里 MyBatis 不会修改或转义字符串。
NOTE 用这种方式接受用户的输入,并将其用于语句中的参数是不安全的,会导致潜在的 SQL 注入攻击,因此要么不允许用户输入这些字段,要么自行转义并检验。
对比
#将参数处理成字符串,$原样输出
#是预编译的,可以防止SQL注入
1、使用${}方式传入的参数,mybatis不会对它进行特殊处理,而使用#{}传进来的参数,mybatis默认会将其当成字符串。可能在赋值给如id=#{id}和id=${id}看不出多大区别,但是作为表名或字段参数时可以明显看出,可以看看下面的例子:
假设传入的参数为表名test
selec * from #{table}; 解析后是:
select * from "test"; 而
select * from ${table}; 解析后是:
select * from test; 很明显,前者多了字符串的引号,会失败,后者正常查询会成功;
所以对于传入分组(order)字段或者排序字段(order),应使用${},避免出现order by "id" 等情况。
2、#和$在预编译处理中是不一样的。#类似jdbc中的PreparedStatement,对于传入的参数,在预处理阶段会使用?代替,比如:
select * from student where id = ?; 待真正查询的时候即在数据库管理系统中(DBMS)才会代入参数。
而${}则是简单的替换,如下:
select * from student where id = 2; 总结
1、能使用${}的地方应尽量使用#{}
2、像PreparedStatement ,#{}可以有效防止sql注入,${}则可能导致sql注入成功。
所谓sql注入,就是指把用户输入的数据拼接到sql语句后面作为sql语句的一部分执行,例如:
select * from user where name=' "+name+" ' and password=' "+password+" ' 那么只要用户输入用户名admin和密码123456' or 'abc' = 'abc',那么拼接出来的语句就为
select * from user where name=' admin ' and password='123456' or 'abc'= 'abc'; 这样只要user表有数据,就会返回结果,达到sql注入的目的。同样,用户输入"' or 1=1 --"则 and password=' "+password+" '就会被注释掉,也达到注入sql的目的。
附:
这里顺带提下防止sql注入的几种方式(可能不止这几种):
(1)、jdbc使用 PreparedStatement代替Statement, PreparedStatement 不仅提高了代码的可读性和可维护性.而且也提高了安全性,有效防止sql注入;
(2)、在程序代码中使用正则表达式过滤参数。使用正则表达式过滤可能造成注入的符号,如' --等
(3)、在页面输入参数时也进行字符串检测和提交时进行参数检查,同样可以使用正则表达式,不允许特殊符号出现
相关博客: