含义
#{}:为占位符
${}:为拼接符
区别:
用法
#{}:为参数占位符?,即sql预编译
在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库已参数化的形式进行查询,
当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or ‘1=1‘也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令,如此,就起到了防止SQL注入的作用了!
${}为字符串替换, 即字符串拼接
执行流程
#{}:动态解析 --> 预编译 --> 运行
${}: 动态解析 --> 编译 -->运行
变量替换
#{}:变量替换是在DBMS(数据库管理系统)中,会对对应的变量自动加上"
${}:变量替换动态解析过程,不会对对应的变量加上"
sql注入
#{}可以防止sql注入
${}不可以防止sql注入
${param}和#{param}的区别
${param}传递的参数会被当成sql语句中的一部分,比如传递表名,字段名
例子:(传入值为id)
order by ${param}
则解析成的sql为:
order by id
#{parm}传入的数据都当成一个字符串,会对自动传入的数据加一个双引号
例子:(传入值为id)
select * from table where name = #{param}
则解析成的sql为:
select * from table where name = "id"
为了安全,能用#的地方就用#方式传参,这样可以有效的防止sql注入攻击
sql注入简介 直接上了百度的例子,感觉一看就清晰明了 某个网站的登录验证的SQL查询代码为: strSQL = "SELECT * FROM users WHERE (name = ‘" + userName + "‘) and (pw = ‘"+ passWord +"‘);" 恶意填入 userName = "1‘ OR ‘1‘=‘1"; 与passWord = "1‘ OR ‘1‘=‘1"; 时,将导致原本的SQL字符串被填为 strSQL = "SELECT * FROM users WHERE (name = ‘1‘ OR ‘1‘=‘1‘) and (pw = ‘1‘ OR ‘1‘=‘1‘);" 也就是实际上运行的SQL命令会变成下面这样的 strSQL = "SELECT * FROM users;" 这样在后台帐号验证的时候巧妙地绕过了检验,达到无账号密码,亦可登录网站。所以SQL注入攻击被俗称为黑客的填空游戏。
预编译具体细节区别
动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。
在下面的语句中,如果 username 的值为 zhangsan,则两种方式无任何区别:
select * from user where name = #{name};
select * from user where name = ${name};
其解析之后的结果均为
select * from user where name = ‘zhangsan‘;
但是 #{} 和 ${} 在预编译中的处理是不一样的。#{} 在预处理时,会把参数部分用一个占位符 ? 代替,变成如下的 sql 语句:
select * from user where name = ?;
而 ${} 则只是简单的字符串替换,在动态解析阶段,该 sql 语句会被解析成
select * from user where name = ‘zhangsan‘;
以上,#{} 的参数替换是发生在 DBMS 中,而 ${} 则发生在动态解析过程中。
那么,在使用过程中我们应该使用哪种方式呢?
答案是,优先使用 #{}。因为 ${} 会导致 sql 注入的问题。看下面的例子:
select * from ${tableName} where name = #{name}
在这个例子中,如果表名为
user; delete user; --
则动态解析之后 sql 如下:
select * from user; delete user; -- where name = ?;
--之后的语句被注释掉,而原本查询用户的语句变成了查询所有用户信息+删除用户表的语句,会对数据库造成重大损伤,极大可能导致服务器宕机。
使用技巧
不论是单个参数还是多个参数,一律建议使用@param("")
能用#{}的地方尽量使用#{},减少${}
表名作为参数时,必须使用${}
order by 时,必须使用${}
使用${}时要注意何时加或不加单引号