mybatis中${}、 #{}区别及应用场景
动态sql是mybatis的主要特性之一。在mapper中定义的参数传到xml中之后,在查询之前mybatis会对其进行动态解析。
mybatis提供了两种支持动态sql的语法:#{} 、${}。
select * from t_user where username = '${username}';
select * from t_user where username = #{username}; username传参一致的话,这两种执行的结果是一样的,但是这两种方式在动态sql解析阶段的处理是不一样的。
#{}
#{ }是预编译处理,MyBatis在处理#{ }时,它会将sql中的#{ }替换为?,然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号
${}
{ }时,它会将sql中的${ }替换为变量的值,传入的数据不会加两边加上单引号。
这样在预编译之前的sql语句已经不包含变量了,因此可以看出${} 变量的替换阶段是在动态SQL解析阶段。
sql注入
1、注意:使用${ }会导致sql注入,不利于系统的安全性!
如果传入的username 为 a’ or '1=1,那么使用${}处理后直接替换字符串的sql就解析为:
select * from t_user where username = a' or '1=1' ; 这样的话所有的用户数据就被查出来了,这样就属于SQL注入。
如果使用#{},经过sql动态解析和预编译,会把单引号转义为’那么sql最终解析为:
select * from t_user where username = "a\' or \'1=1 "; 这样会查不出任何数据,有效阻止sql注入
有的业务场景经常用到模糊查询,也就是like处理,推荐使用以下处理方式:
t_user.username like #username# java代码里:
if (!StringUtil.isEmpty(this.username)) {
table.setUsername("%" + this.username + "%");
} 或者也可以使用数据库函数进行连接处理:
select * from t_user u where username like CONCAT('%', #username#, '%') 特定场景
注意:以上就可以发现在某些特定场景下只能用${},比如order by 后的排序字段,表名、列名,因为需要替换为不变的常量。如果表名中使用#{}的话,会变成如下:
select * from #{tablename}-->tablename
传参为
t_user
—>处理后变成
select * from 't_user'
,没有这样的表名,这样的话就会报错了,order by 同理。
![龙珠训练营task04[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)