mybatis#{}和${}区别
${} :是做字符串拼接不能防止sql注入。并且单个参数时${这里面必须是value},
如果参数时字符串时需要在${}前后加上单引号。
假设通过名称查询user 表
注入漏洞sql:select * from user where username = ‘${value}‘ ,如果${value} 中
value= “ aa ‘ or ‘a‘ = ‘a ” 此时就可以忽略查询条件直接将所有的用户信息查询出。
#{}:是占位符,可以有效的防止sql注入,如果参数是字符类型时会在参数两边加上单引号。
如果参数是一个#{随意写},如果是对象就需要#{java bean 属性名}
sql注入问题:看到这里小伙伴们肯定要说如果用#{}传入上面同样的参数也会出现这样的问题,
其实不然。此时就需要区分两者的机制了。#{}是会进行预编译的, 因此#{}里面的参数不会进行SQL编辑,
仅仅只是把里面的值当成一个参数。而${}是先变成生sql字符串再进行SQL编译,因此会造成生sql注入。
由于是本人亲自编写,未经允许请勿转载。联系方式:qq2580052864
原文:https://www.cnblogs.com/YeShaoFa/p/9934222.html