关于mybatis中#和$的区别

本文探讨了MyBatis框架中动态SQL的使用方法及其安全性问题。通过对比${}

mybatis中动态添加

sql:select * from user t1

<where>

<if test="id != null and id != ''">
    and t1.ID =#{id}
   </if>意思是如果id不为空并且不等于空字符串,将里面的内容拼到前面的sql中,相当于java代码:

if(id!=null&id!=""){

     sql. append(t1.getId()="+id+")

}

如果使用#{id},他对传过来的参数提前给了个 占位符" ",这样可以防止对sql的攻击

再看如果

<if test="id != null and id != ''">
    and t1.ID =${id}它就相当于

if(id!=null&id!=""){

     sql. append(t1.getId()=id)

}

这样你的id就可以随便写:比如 id;insert into user valuse(?,...),拼接后的语句:select * from user t1 where t1.id=id;insert into user valuse(?,...);

这样你就可以越过系统检验,直接添加用户,并且登陆后随便操作.造成很大的不安全,所以经常使用#。

$可以传一些integer,double类型,比如价格,年龄等具体数据

 

 

 

### MyBatis 中 `#` `$` 符号的区别 #### 占位符功能差异 在 MyBatis 中,`#{}` `${}` 都可以作为占位符来插入参数到 SQL 语句中。然而两者的工作机制存在显著不同。 当使用 `#{}` 形式的占位符时,MyBatis 将其视为预处理语句 (PreparedStatement) 的参数绑定方式[^1]。这意味着实际的 SQL 发送到数据库之前会先由 JDBC 进行一次转义处理,从而有效防止 SQL 注入攻击的发生。 而采用 `${}` 方式,则是直接替换模板中的变量名为其对应的值字符串,并不做任何额外的安全检查或转换操作[^2]。因此,在某些特殊情况下可能会引入潜在风险。 #### 使用场景对比 由于上述特性上的差别,这两种语法适用于不同的编程环境: - 对于大多数常规查询条件构建而言,推荐优先选用 `#{}` 结构以增强应用程序的整体安全性; - 当遇到一些无法通过标准 API 实现的需求——比如表名、列名动态指定等情况时,则可能不得不借助 `${}` 完成相应逻辑编码工作;不过此时应当格外谨慎对待输入验证环节[^3]。 #### 示例代码展示 下面给出一段简单的例子说明如何分别运用这两种表达形式编写 Mapper XML 文件内的 SELECT 语句: ```xml <!-- 正确做法 --> <select id="findUserById" parameterType="int" resultType="com.example.User"> SELECT * FROM users WHERE user_id = #{userId} </select> <!-- 错误示范:容易遭受注入威胁 --> <select id="findByTableName" parameterType="string" resultType="map"> SELECT * FROM ${tableName} <!-- 不建议这样写 --> </select> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值