MyBatis中#{}和${}的差別詳解 差別

差別

1. #能夠很大程度防止sql注入,$方式無法防止Sql注入。
2. #{}在預處理時，會把參數部分用一個占位符,而 ${} 則隻是簡單的字元串替換。
3. $方式一般用于傳入資料庫對象，例如傳入表名.

執行個體講解

動态 sql 是 mybatis 的主要特性之一，在 mapper 中定義的參數傳到 xml 中之後，在查詢之前 mybatis 會對其進行動态解析。mybatis 為我們提供了兩種支援動态 sql 的文法：#{} 以及 ${}。

在下面的語句中，如果 name 的值為 zhangsan，則兩種方式無任何差別：

select * from user where name = #{name};

select * from user where name = ${name};

其解析之後的結果均為

select * from user where name = ‘zhangsan’;

但是 #{} 和 ${} 在預編譯中的處理是不一樣的。

#{} 在預處理時，會把參數部分用一個占位符 ? 代替，變成如下的 sql 語句：

select * from user where name = ?;

而 ${} 則隻是簡單的字元串替換，在動态解析階段，該 sql 語句會被解析成

select * from user where name = ‘zhangsan’;

以上，#{} 的參數替換是發生在 DBMS 中，而 ${} 則發生在動态解析過程中。

那麼，在使用過程中我們應該使用哪種方式呢？

答案是：優先使用 #{}。因為 ${} 會導緻 sql 注入的問題。

看下面的例子：

select * from ${tableName} where name = #{name}

在這個例子中，如果表名為

user; delete user; –

則動态解析之後 sql 如下：

select * from user; delete user; – where name = ?;

–之後的語句被注釋掉，而原本查詢使用者的語句變成了查詢所有使用者資訊+删除使用者表的語句，會對資料庫造成重大損傷，極大可能導緻伺服器當機。

但是表名用參數傳遞進來的時候，隻能使用 ${} 。這也提醒我們在這種用法中要小心sql注入的問題。