所有分类
  • 所有分类
  • 未分类

MyBatis–#与$的区别

简介

本文介绍MyBatis中#与$的区别。

区别概述

#{xxx}${xxx)
编译器行为在预编译期,生成?,作为占位符在预编译期,会直接显示拼接的字符
拼接行为如果字段是字符串类型,拼接时会在字符串两侧添加单引号无论是什么类型,拼接时不会在两侧添加单引号
使用场景用于字段的值。需要动态参数的时候。 例如:传入数据库对象(例如:表名、列名); ORDER BY;

情况一:只用  #{}

  <select id="getUserByNameAndPsw" resultType="com.hotel3.model.User">
        select * from USER where userName=#{userName} and userPassword =#{userPassword};
  </select>

结果:

 ==>  Preparing: select * from USER where userName=? and userPassword =?; 
 ==>  Parameters: mww(String), 123(String)
 <==  Total: 1

结论:

#{}会在预编译期,生成两个  ?,作为占位符。 

情况二:一个用  ${} 一个用 #{}

  <select id="getUserByNameAndPsw" resultType="com.hotel3.model.User">
        select * from USER where userName=${userName} and userPassword =#{userPassword};
  </select>

结果:

 ==>  Preparing: select * from USER where userName=mww and userPassword =?; 
 ==>  Parameters: 123(String)

结论:

很显然  ${}  是直接拼成字符串的 ,#{}  是生成  ?占位符的。
而且因为  userName:mww 是字符串,所以 这种写法显然也是错误的 ,会报出如下错误:### Error querying database.  Cause: java.sql.SQLSyntaxErrorException: Unknown column ‘mww’ in ‘where clause’

 所以正确的写法是这样的:为字符串字段加上单引号 ‘ ‘

<select id="getUserByNameAndPsw" resultType="com.hotel3.model.User">
        select * from USER where userName='${userName}' and userPassword =#{userPassword};
</select>

结果:

==>  Preparing: select * from USER where userName='mww' and userPassword =?; 
==>  Parameters: 123(String)
<==  Total: 1

结论:

显然这种写法是正确的,从这里可以看出,预编译期   ${}  是直接把参数拼结到SQL中,运行时,就只传入了一个 #{} 修饰的参数。${}的这种写法还有一个安全隐患,那就是 SQL注入。

情况三: ${}   SQL注入

  <select id="getUserByNameAndPsw" resultType="com.hotel3.model.User">
        select * from USER where userName='${userName}' and userPassword =#{userPassword};
  </select>

结果:

 ==>  Preparing: select * from USER where userName='' OR 1=1 OR '' and userPassword =?; 
 ==>  Parameters: 65787682342367(String)
 <==  Total: 2

结论:

只要我们在  ${}  输入   ‘ OR 1=1 OR ‘   无论后面的密码输入什么都可以,查询到数据,这种情况就是SQL注入。 

情况四:#{}  防止SQL注入

  <select id="getUserByNameAndPsw" parameterType="map" resultType="com.hotel3.model.User">
        select * from USER where userName=#{userName} and userPassword =#{userPassword};
  </select>

结果:

 ==>  Preparing: select * from USER where userName=? and userPassword =?; 
 ==>  Parameters: ' OR 1=1 OR '(String), 123(String)
 <==  Total: 0 

结论:

上面预编译SQL的参数已经由占位符 { ?} 代替,所以传入的  ‘ OR 1=1 OR ‘  只会作为  userName字段的值,而不会拼入执行的SQL。这样就达到了防止SQL注入的目的。

${}正确用法

1、同时传入一个字段名和字段值

User u=userService.getUserByNameAndPsw(“userName,userType,userPassword”,userName,userPassword);
SQL: select ${arg0} from USER

  <select id="getUserByNameAndPsw" resultType="com.hotel3.model.User">
        select ${arg0} from USER where userName=#{userName} and userPassword =#{userPassword};
  </select>

结果:

 ==>  Preparing: select userName,userType,userPassword from USER where userName=? and userPassword =?; 
 ==>  Parameters: mww(String), 123(String)
 <==  Total: 1

结论:

生成了我们想要SQL语句 :select userName,userType,userPassword from USER。。。。

2、传入两个字段名和字段值

User u=userService.getUserByNameAndPsw(“userName,userType,userPassword”,userName,userName,userPassword);
SQL:  select ${arg0} from USER where ${arg1}=#{userName}

  <select id="getUserByNameAndPsw" resultType="com.hotel3.model.User">
        select ${arg0} from USER where ${arg1}=#{userName} and userPassword =#{userPassword};
  </select>

 结果:

 ==>  Preparing: select userName,userType,userPassword from USER where userName=? and userPassword =?; 
 ==>  Parameters: mww(String), 123(String)
 <==  Total: 1

结论:

按照传参的顺序匹配 SQL 中的 ${arg0},${arg1}。。。生成我们想要的代码,但这个方式会使Mybatis 的 Mapper 文件可读性变差,如果不看其他的代码,很难辨别  ${arg0} ,${arg1} 代表的含义。

 3、使用Map传值,提高 Mapper 文件的可读性

Map map =new HashMap();
map.put("selectValues","userName,userType,userPassword");
map.put("userNamefieId","userName");
map.put("userName",userName);
map.put("userPassword",userPassword);
User u=userService.getUserByNameAndPsw(map);

Mapper 文件的 xml

  <select id="getUserByNameAndPsw" parameterType="map" resultType="com.hotel3.model.User">
        select ${selectValues} from USER where ${userNamefieId}=#{userName} and userPassword =#{userPassword};
  </select>

结果:

 ==>  Preparing: select userName,userType,userPassword from USER where userName=? and userPassword =?; 
 ==>  Parameters: mww(String), 123(String)
 <==  Total: 1

结论:

结果和arg0、arg1的传值方式相同,但 Mapper 文件的 xml 中的SQL语句可以通过对 map 中 key 值命名提高可读性。

  • 以上SQL,均为预编期生成的SQL。
  • ${} 每次传值不同 SQL 语句不同,可以灵活生成 SQL, 但每次都需要进行预编译,对效率会有影响,至于要不要使用 ${}还要具体情况具体分析。
0

评论1

请先

  1. ${}.防止sql注入的常见的几种方式: 1.jdbc使用 PreparedStatement代替Statement, PreparedStatement 不仅提高了代码的可读性和可维护性.而且也提高了安全性,有效防止sql注入; 2.在程序代码中使用正则表达式过滤参数。使用正则表达式过滤可能造成注入的符号,如' --等; 3.在页面输入参数时也进行字符串检测和提交时进行参数检查,同样可以使用正则表达式,不允许特殊符号出现。
    华山栈道008 2023-12-07 0
显示验证码
没有账号?注册  忘记密码?

社交账号快速登录