脚本宝典收集整理的这篇文章主要介绍了mybatis中$和#的区别及应用场景,脚本宝典觉得挺不错的,现在分享给大家,也给大家做个参考。
解析为一个JDBC预编译语句(PRepared statement)的参数标记符,把参数部分用占位符?代替。动态解析为:
select * From t_user where username = ? ;
而传入的参数将会经过Preparedstatement方法的强制类型检查和安全检查等处理,最后作为一个合法的字符串传入。
在动态SQL解析阶段将会进行变量替换,假如传递的参数为Alice,最终处理结果如下:
select * from t_user where username = 'Alice' ;
这样在预编译之前的sql语句已经不包含变量了,因此可以看出${} 变量的替换阶段是在动态SQL解析阶段。
以上不同的处理方式可以看出,#{}预处理之后可以预防SQL注入;而${}在预编译之前就已经被替换,有被注入的风险,如下例:
如果传入的username 为 a' or '1=1,那么使用${}处理后直接替换字符串的sql就解析为:
select * from t_user where username = 'a' or '1=1' ;
这样的话所有的用户数据就被查出来了,这样就属于SQL注入。
如果使用#{},经过sql动态解析和预编译,会把单引号转义为'
那么sql最终解析为:
select * from t_user where username = "a' or '1=1 ";
//这样会查不出任何数据,有效阻止sql注入
有的业务场景经常用到模糊查询,也就是like处理,推荐使用以下处理方式:
t_user.username like #username#
java代码里:
select * from t_user u where username like CONCAT('%', #username#, '%')
注意:以上就可以发现在某些特定场景下只能用${},比如order by 后的排序字段,表名、列名,因为需要替换为不变的常量。如果表名中使用#{}的话,会变成如下:
select * from #{tablename}–>tablename传参为t_user—>处理后变成 select * from 't_user',多了单引号,没有这样的表名,这样的话就会报错了,order by同理。
因此,${}比较特殊, 他的应用场景是 需要动态传入 表名或列名时使用。
因为预编译语句对象可以重复利用,把一个sql预编译后产生的PreparedStatement对象缓存下来,下次对于同一个sql,可以直接使用缓存的PreparedStatement对象,mybatis默认情况下,对所有的sql进行预编译,这样的话#{}的处理方式性能会相对高些。
能使用#{}的时候尽量使用#{}
表名、order by的排序字段作为变量时,使用${}。
源自:https://www.senup.cn/p/1b99.htML
以上是脚本宝典为你收集整理的mybatis中$和#的区别及应用场景全部内容,希望文章能够帮你解决mybatis中$和#的区别及应用场景所遇到的问题。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。