admin 管理员组文章数量: 887030
#{}和${}的区别
在使用mybatis的时候我们会使用到#{}和${}这两个符号来为sql语句传参数
那么这两者有什么区别呢?
1.#{}是预编译处理,是占位符,${}是字符串替换,是拼接符
2.Mybatis在处理#{}的时候会将sql中的#{}替换成?号,调用PreparedStatement来赋值
如:select * from user where name = #{userName};设userName=yuze
看日志我们可以看到解析时将#{userName}替换成了 ?
select * from user where name = ?;
然后再把yuze放进去,外面加上单引号
3.Mybatis在处理${}的时候就是把${}替换成变量的值,调用Statement来赋值
如:select * from user where name = #{userName};设userName=yuze
看日志可以发现就是直接把值拼接上去了
select * from user where name = yuze;
这极有可能发生sql注入,下面举了一个简单的sql注入案例
4.#{}的变量替换是在DBMS中、变量替换后,#{}对应的变量自动加上单引号
5.${}的变量替换是在DBMS外、变量替换后,${}对应的变量不会加上单引号
6.使用#{}可以有效的防止sql注入,提高系统的安全性
下面举一个简单的sql注入问题:
这是一条用户的账号、密码数据
当用户登录,我们验证账号密码是否正确时用这个sql:
username=yyy;password=123
select * from user where username=${username} and password=${password}
显然这条sql没问题可以查出来,但是如果有人不知道密码但是想登录账号怎么办
我们不需要填写正确的密码:
密码输入1 or 1=1,sql执行的其实是
select * from user where username='yyy' and password=1 or 1 =1
注意:这里的yyy外面的单引号不是${}符号提供的。${}没有这个功能,可以是sql手动拼接的,这里前后逻辑可能并不严密,但是sql入去最简单的例子就是这样。
本文标签: 和的区别
版权声明:本文标题:#{}和${}的区别 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1687319556h89068.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论