0


Mybatis——#{}和${}的区别

在使用mybatis的时候我们会使用到#{}和${}这两个符号来为sql语句传参数,那么这两者有什么区别呢?

  1. #{}是预编译处理,是占位符,${}是字符串替换,是拼接符
  2. Mybatis在处理#{}的时候会将sql中的#{}替换成?号,调用PreparedStatement来赋值 如:
select*fromuserwhere name =#{userName};

设userName=yuze

看日志我们可以看到解析时将#{userName}替换成了

select*fromuserwhere name = ?;

然后再把yuze放进去,外面加上单引号

  1. Mybatis在处理 的 时 候 就 是 把 {}的时候就是把 的时候就是把{}替换成变量的值,调用Statement来赋值 如:
select*fromuserwhere name =#{userName};

设userName=yuze

看日志可以发现就是直接把值拼接上去了

select*fromuserwhere name = yuze;

这极有可能发生sql注入,下面举了一个简单的sql注入案例
这是一条用户的账号、密码数据
在这里插入图片描述

当用户登录,我们验证账号密码是否正确时用这个sql:

username=yyy;password=123

select*fromuserwhere username=${username} and password=${password}

显然这条sql没问题可以查出来,但是如果有人不知道密码但是想登录账号怎么办

我们不需要填写正确的密码:

密码输入1 or 1=1,sql执行的其实是

select*fromuserwhere username='yyy'and password=1or1=1
  1. #{}的变量替换是在DBMS中、变量替换后,#{}对应的变量自动加上单引号
  2.                                              的                            变                            量                            替                            换                            是                            在                            D                            B                            M                            S                            外                            、                            变                            量                            替                            换                            后                            ,                                  {}的变量替换是在DBMS外、变量替换后,                     的变量替换是在DBMS外、变量替换后,{}对应的变量不会加上单引号
    
  3. 使用#{}可以有效的防止sql注入,提高系统的安全性
标签: mybatis java mysql

本文转载自: https://blog.csdn.net/weixin_44688973/article/details/125671926
版权归原作者 向着百万年薪努力的小赵 所有, 如有侵权,请联系我们删除。

“Mybatis——#{}和${}的区别”的评论:

还没有评论