1、#{变量名}可以进行预编译、类型匹配等操作,
2、#{变量名}会转化为jdbc的类型。
3、${变量名}不进行数据类型匹配,直接替换。
4、#方式能够很大程度防止sql注入。
5、$方式无法方式sql注入。
6、$方式一般用于传入数据库对象,例如传入表名。
7、尽量多用#方式,少用$方式。
8、#会自动加双引号,$不会加双引号
这两个符号在mybatis中最直接的区别就是:#相当于对数据 加上 单引号,$相当于直接显示数据(只讨论字符串类型的)。
1、#对传入的参数视为字符串,也就是它会预编译,select * from user where name = #{name},比如我传一个aaa,那么传过来就是 select * from user where name = 'aaa';
2、$将不会将传入的值进行预编译,select * from user where name=${name},比如我传一个aaa,那么传过来就是 select * from user where name = aaa;
3、#的优势就在于它能很大程度的防止sql注入,而$则不行。比如:用户进行一个登录操作,后台sql验证式样的:select * from user where username=#{name} and password = #{pwd},如果前台传来的用户名是“wang”,密码是 “1 or 1=1”,用#的方式就不会出现sql注入,而如果换成$方式,sql语句就变成了 select * from user where username=wang and password = 1 or 1=1。这样的话就形成了sql注入。
4、MyBatis排序时使用order by 动态参数时需要注意,用$而不是#
字符串替换
默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用:
ORDER BY ${columnName}
这里MyBatis不会修改或转义字符串。
重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查(通常我们应该对任何传来的参数都抱着不信任的做法来写程序,这样我们的程序才健壮)。
