mysql中#{}和${}的区别详解

#{}会将传入的数据当成一个字符串,会对自动传入的数据加一个双引号

order by #{userid}   
这里假如userid = 111,那么解析成sql时会变成 order by “111”
这里如果userid = idstr,那么解析成sql时会变成 order by “idstr”

${}会将传入的数据直接显示生成在sql中

order by #{userid}  
这里假如userid = 111,那么解析成sql时会变成 order by 111
这里如果userid = idstr,那么解析成sql时会变成 order by idstr

#方式能够很大程度防止sql注入;$方式无法防止sql注入。

$方式一般用于传入数据库对象,例如传入表名。

一般能用#的就别用$。mybatis排序时使用order by 动态参数时需要注意,用$而不是#

默认情况下,使用#{}格式的语法会导致mybatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在sql语句中插入一个不改变的字符串。比如,像order by,你可以这样来使用:

order by ${columnname}; 这里mybatis不会修改或转义字符串。

例子:

在没有做防sql注入的时候,我们的sql语句可能是这么写的:

<select id="fetchstudentbyname" parametertype="string" resulttype="entity.studententity"> select id,name,age from student where name = '${value}' </select>

但如果我们对传入的姓名参数做一些更改,比如改成anything’ or ‘x’=’x,那么拼接而成的sql就变成了

select id,name,age from student where name = 'anything' or 'x'='x'

库里面所有的学生信息都被拉了出来,是不是很可怕。原因就是传入的anything’ or ‘x’=’x和原有的单引号,正好组成了 ‘anything’ or ‘x’=’x’,而or后面恒等于1,所以等于对这个库执行了查所有的操作。

防范sql注入的话,就是要把整个anything’ or ‘x’=’x中的单引号作为参数的一部分,而不是和sql中的单引号进行拼接

使用了#即可在mybatis中对参数进行转义

<select id="fetchstudentbyname" parametertype="string" resulttype="entity.studententity"> select id,name,age from student where name = #{name} </select>

我们看一下发送到数据库端的sql语句长什么样子。

select id,name,age from student where name = 'anything\' or \'x\'=\'x'

到此这篇关于mysql中#{}和${}的区别的文章就介绍到这了,更多相关mysql中#{}和${}的区别内容请搜索www.887551.com以前的文章或继续浏览下面的相关文章希望大家以后多多支持www.887551.com!

(0)
上一篇 2022年3月21日
下一篇 2022年3月21日

相关推荐