当前位置：网站首页>＃{}和${}的区别

＃{}和${}的区别

2022-07-28 22:23:00 【m0_54861649】

在使用mybatis的时候我们会使用到#{}和${}这两个符号来为sql语句传参数

那么这两者有什么区别呢？

1.#{}是预编译处理，是占位符，${}是字符串替换，是拼接符

2.Mybatis在处理#{}的时候会将sql中的#{}替换成？号，调用PreparedStatement来赋值

如：select * from user where name = #{userName}；设userName=yuze
看日志我们可以看到解析时将#{userName}替换成了？
select * from user where name = ;
然后再把yuze放进去，外面加上单引号

3.Mybatis在处理 ${}的时候就是把$ {}替换成变量的值，调用Statement来赋值

如：select * from user where name = #{userName}；设userName=yuze
看日志可以发现就是直接把值拼接上去了
select * from user where name = yuze;
这极有可能发生sql注入，下面举了一个简单的sql注入案例

4.#{}的变量替换是在DBMS中、变量替换后，#{}对应的变量自动加上单引号

5. ${}的变量替换是在DBMS外、变量替换后，$ {}对应的变量不会加上单引号

6.使用#{}可以有效的防止sql注入，提高系统的安全性

下面举一个简单的sql注入问题：

这是一条用户的账号、密码数据

当用户登录，我们验证账号密码是否正确时用这个sql：

username=yyy;password=123

select * from user where username=${username} and password=${password}

显然这条sql没问题可以查出来，但是如果有人不知道密码但是想登录账号怎么办

我们不需要填写正确的密码：

密码输入1 or 1=1，sql执行的其实是

select * from user where username='yyy' and password=1 or 1 =1

注意：这里的yyy外面的单引号不是 ${}符号提供的。$ {}没有这个功能，可以是sql手动拼接的，这里前后逻辑可能并不严密，但是sql入去最简单的例子就是这样。

版权声明
本文为[m0_54861649]所创，转载请带上原文链接，感谢
https://blog.csdn.net/m0_54861649/article/details/126011707