关于mybatis中#{}和${}区别的解析

#{}
使用#{}的时候，会先生成一句sql语句
如：其中id=1；
select * from emp where id=#{id};
会先生成一句
select * from emp where id=?（预编译）
然后再把1替换进去
select * from emp where id=‘1’；（中的id为字符串）
尽管我们数据库中的id定义为int类型，数据库会帮我们自动转换。就像我们java中String中存的是是数字可以强转为integer

然后就存进去数据库了。
${}

使用 $ {}的时候是直接进行sql拼接
如：id=1;
select * from emp where id=${id};
select * from emp where id=1;
其中的1是没有’ ’

在大部分的文章当中都有说#{}不会有sql注入的问题,而${}会有sql注入的问题，那么接下来将解释一下
因为我们的#{}注入的数据是带有’'所以如下情况下
String sql=”1; drop table emp；“；

使用#{}
select * from emp where id=#{id}的时候
select * from emp where id=’ 1；drop table emp；’;
这样数据库会查询出对应的记录，并发出一条警告并不会删除emp表

但是当我们使用 $ {}的时候就会出现一下这这种情况
select * from emp where id=${id}的时候
select * from emp where id='1；drop table emp；
数据库会执行两条sql语句这样就会造成 emp表被恶意删除。这就是sql注入的问题。

谢谢大家，有问题希望大家指出

关于mybatis中#{}和${}区别的解析相关推荐

MyBatis中foreach元素用法解析
(尊重劳动成果,转载请注明出处:http://blog.csdn.net/qq_25827845/article/details/70946761冷血之心的博客) 动态SQL是MyB ...
mybatis中#和$区别
在Mybtis中的Mapper映射文件中,sql语句传参有两种方式#{}和${} 一般来说,我们通常使用的是#{},这里采用的是预编译机制,防止SQL注入,将#{}中的参数转义成字符串,例如: 执行S ...
mybatis与php,浅谈mybatis中的#和$的区别
浅谈mybatis中的#和$的区别发布于 2016-07-30 11:14:47 | 236 次阅读 | 评论: 0 | 来源: 网友投递 MyBatis 基于Java的持久层框架MyBatis 本 ...
mybatis对mapper.xml的解析（三)
mybatis中对语句的解析使用了组合模式,针对不同的sql结点处理抽象出了SqlNode.详细的设计图为什么时候创建不同的SqlSource? 创建DynamicSqlSource情况: 在包含有 ...
MyBatis中#{}和${}的区别
------------------------siwuxie095 MyBatis 中 #{} 和 ${} 的区别 1.在 MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{} ...
Mybatis 中$与#的区别
1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select i ...
mybatis中的resultMap与resultType、parameterMap与 parameterType的区别
Map:映射:Type:Java类型 resultMap 与 resultType.parameterMap 与 parameterType的区别在面试的时候被问到的几率非常高,项目中出现了一个小b ...
mybatis 中#与$的区别
2019独角兽企业重金招聘Python工程师标准>>> MyBatis中#和$的区别 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号.如:order by #u ...
从印度兵力分布聊聊Mybatis中#和$的区别
文章目录简介举个例子查询举例 #{id}的特点 ${id}的特点总结简介大家在使用Mybatis的过程中可能都会自己去写SQL语句,并且需要向SQL语句传入参数. 但是在Mybatis中, ...

关于mybatis中#{}和${}区别的解析

关于mybatis中#{}和${}区别的解析相关推荐

最新文章

热门文章