溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章主要介紹Mabatis中#{}和${}的區別有哪些,文中介紹的非常詳細,具有一定的參考價值,感興趣的小伙伴們一定要看完!
動態 sql 是 mybatis 的主要特性之一,在 mapper 中定義的參數傳到 xml 中之后,在查詢之前 mybatis 會對其進行動態解析。mybatis 為我們提供了兩種支持動態 sql 的語法:#{} 以及 ${}。
在下面的語句中,如果 username 的值為 zhangsan,則兩種方式無任何區別:
select * from user where name = #{name};
select * from user where name = ${name};其解析之后的結果均為
select * from user where name = 'zhangsan';
但是 #{} 和 ${} 在預編譯中的處理是不一樣的。#{} 在預處理時,會把參數部分用一個占位符 ? 代替,變成如下的 sql 語句:
select * from user where name = ?;
而 ${} 則只是簡單的字符串替換,在動態解析階段,該 sql 語句會被解析成
select * from user where name = 'zhangsan';
以上,#{} 的參數替換是發生在 DBMS 中,而 ${} 則發生在動態解析過程中。
那么,在使用過程中我們應該使用哪種方式呢?
答案是,優先使用 #{}。因為 ${} 會導致 sql 注入的問題。看下面的例子:
select * from ${tableName} where name = #{name}在這個例子中,如果表名為
user; delete user; --
則動態解析之后 sql 如下:
select * from user; delete user; -- where name = ?;
--之后的語句被注釋掉,而原本查詢用戶的語句變成了查詢所有用戶信息+刪除用戶表的語句,會對數據庫造成重大損傷,極大可能導致服務器宕機。
但是表名用參數傳遞進來的時候,只能使用 ${} ,具體原因可以自己做個猜測,去驗證。這也提醒我們在這種用法中要小心sql注入的問題。
以上是“Mabatis中#{}和${}的區別有哪些”這篇文章的所有內容,感謝各位的閱讀!希望分享的內容對大家有幫助,更多相關知識,歡迎關注億速云行業資訊頻道!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
