MyBatis中 #{} 和 ${} 的区别小结
在MyBatis中,#{}和${}是两种常见的占位符,它们的作用和使用场景有所不同。理解它们的区别对于正确使用MyBatis非常重要。
在Mybatis面试中常涉及到关于#{}和${}的区别
1、#{}是预编译处理,$ {}是字符串替换。
2、MyBatis在处理#{}时,会将SQL中的#{}替换为?号,使用PreparedStatement的set方法来赋值;MyBatis在处理 $ { } 时,就是把 ${ } 替换成变量的值。
3、使用 #{} 可以有效的防止SQL注入,提高系统安全性。
1. #{} 和 ${} 的基本区别
#{}:SQL参数占位符
作用:#{}用于将传入的参数安全地绑定到SQL语句中,它会自动使用PreparedStatement的?占位符机制,并且MyBatis会对传入的参数进行预处理(例如防止SQL注入)。
参数替换:在生成SQL语句时,#{}会被替换为一个?,然后由JDBC驱动程序将参数值绑定到这个?占位符上。
使用场景:通常用于传递用户输入的参数,如查询条件、插入或更新的数据等。
示例:
<select id="findUserById" resultType="User">
SELECT * FROM users WHERE id = #{id}
</select>如果传入的
id为1,MyBatis生成的SQL类似于:SELECT * FROM users WHERE id = ?,然后通过PreparedStatement将?替换为1。
${}:SQL文本占位符
作用:${}用于直接将传入的参数值替换到SQL语句中,它不会进行预处理,因此直接将参数值插入到SQL语句中。这意味着${}会将参数视为SQL的一部分,可能会导致SQL注入风险。
参数替换:在生成SQL语句时,${}会直接将传入的值替换到SQL语句中,而不会使用?占位符。
使用场景:通常用于动态生成SQL片段,比如排序字段名、表名、列名等不直接来自用户输入的参数。
示例:
<select id="findUserByColumn" resultType="User">
SELECT * FROM users WHERE ${columnName} = #{value}
</select>如果传入的
columnName为username,value为John,MyBatis生成的SQL类似于:SELECT * FROM users WHERE username = ?,然后通过PreparedStatement将?替换为John。
2. 安全性和使用建议
SQL注入防护:由于
#{}会使用PreparedStatement的参数绑定机制,因此可以有效防止SQL注入攻击。而${}直接将参数值拼接到SQL中,可能导致SQL注入,因此应慎重使用。动态SQL生成:
${}更适合用于生成动态的SQL片段,比如动态表名、列名等。但要确保传入的值是可信任的,或者通过其他手段确保安全。
3. 具体示例
使用 #{} 的示例
<select id="findUserById" resultType="User">
SELECT * FROM users WHERE id = #{id}
</select>传入id为1,生成SQL为:
SELECT * FROM users WHERE id = ?
然后将参数1安全地绑定到?上。
使用 ${} 的示例
<select id="findUserByColumn" resultType="User">
SELECT * FROM users WHERE ${columnName} = #{value}
</select>传入columnName为username,value为John,生成SQL为:
SELECT * FROM users WHERE username = ?
然后将参数John绑定到?上。
SQL注入风险示例
<select id="findUserByColumn" resultType="User">
SELECT * FROM users WHERE ${columnName} = #{value}
</select>如果传入的columnName为username OR '1'='1',生成的SQL可能是:
SELECT * FROM users WHERE username OR '1'='1' = ?
这样就可能导致SQL注入问题。
总结
#{}:安全地传递参数,防止SQL注入,常用于传递用户输入的参数。${}:直接将参数值插入到SQL中,适用于动态生成SQL片段(如表名、列名),但存在SQL注入风险,应谨慎使用。
在实际开发中,建议尽量使用#{}来传递参数,以确保SQL安全性,而对于使用${}的场景,需要确保传入的参数是安全且经过验证的。
到此这篇关于MyBatis中 /#{} 和 /${} 的区别小结的文章就介绍到这了,更多相关MyBatis /#{} 和 /${}内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
使用Spring Framework 时常犯的十大错误(小结)
这篇文章主要介绍了使用Spring Framework 时常犯的十大错误(小结),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2019-07-07
为什么Spring官方推荐的@Transational还能导致生产事故
在Spring中进行事务管理非常简单,只需要在方法上加上注解@Transactional,那么为什么Spring官方推荐的@Transational还能导致生产事故,本文就详细的介绍一下2021-11-11
这篇文章主要为大家介绍了Java代理模式,具有一定的参考价值,感兴趣的小伙伴们可以参考一下,希望能够给你带来帮助2022-01-01
这篇文章主要为大家详细介绍了SpringMVC按Ctrl上传多个文件的方法,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2022-09-09
本文主要介绍了Java获取七牛云存储空间中图片外链,需要获取在七牛云中存储的所有图片,并返回外链地址,具有一定的参考价值,感兴趣的可以了解一下2023-10-10
这篇文章主要介绍了使用AOP的@Around后无返回值的解决,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧2021-02-02
在Spring Boot应用程序中,定义Bean是非常常见的操作,它是构建应用程序的基础,pring Boot提供了多种方式来定义Bean,每种方式都有其适用的场景和优势,本文将介绍Spring Boot中定义Bean的几种常见方式,需要的朋友可以参考下2023-12-12
Java基于SpringBoot和tk.mybatis实现事务读写分离代码实例
这篇文章主要介绍了Java基于SpringBoot和tk.mybatis实现事务读写分离代码实例,读写分离,基本的原理是让主数据库处理事务性增、改、删操作,而从数据库处理SELECT查询操作,数据库复制被用来把事务性操作导致的变更同步到集群中的从数据库,需要的朋友可以参考下2023-10-10
在mapper.xml中,需要在字段映射时加入typeHandler,具体:<id property="abnormalEigenList" column="AbnormalEigen" typeHandler="com.xxx.config.JsonHandler">,下面通过本文给大家介绍Mybatis中,映射mysql中的JSON字段,需要的朋友可以参考下2023-10-10
spring aop action中验证用户登录状态的实例代码
本篇文章主要介绍了spring aop action中验证用户登录状态的实例代码,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2017-07-07
最新评论