没有检索到摘要
最近面试,面试官问到Mybatis中的 ${} 和 #{}区别,我觉得总结的不全面,在此记录下.
先直接得结论:
- 使用#{}语法,主要是mybatis会有一个预编译产生PreparedStatement语句中,并且安全的设置PreparedStatement参数,这个过程中MyBatis会进行必要的安全检查和转义,可以防止sql注入;
- 使用${}语法不能防止sql注入,主要使用是在一些不能预编译的地方.
eg:
示例1:
执行SQL:Select * from student where name = #{name}
参数:name=>Tom,编译的时候是Select * from student where name = ?,最后才解析成Select * from student where name = Tom;
示例2:
执行SQL:Select * from student where name = ${name}
参数:name=>Tom,编译的时候是Select * from student where name = Tom,用户可以在这个name地方写上Tom and age= 18,这样就改变了原有的sql,这就叫做sql注入;
使用场景:
一般能使用#{}的地方尽量使用#{},采用预编译的方式,如果在表名,或者排序的字段没有办法就使用${},例如:
Select * from ${tableName} where name = ‘Tom’;
参数:tableName=>student ,就可以解析为Select * from student where name = Tom了.
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
