預(yù)編譯為什么能防止sql注入？因為preparedStatement中可以不包含數(shù)據(jù)，只包含操作，這樣就不需要用數(shù)據(jù)來拼接SQL。淺談mybatis中的#和$的區(qū)別，以及防止sql注入的方法？#{ }

預(yù)編譯為什么能防止sql注入？

因為preparedStatement中可以不包含數(shù)據(jù)，只包含操作，這樣就不需要用數(shù)據(jù)來拼接SQL。

淺談mybatis中的#和$的區(qū)別，以及防止sql注入的方法？

#{ } 解析為一個 JDBC 預(yù)編譯語句（prepared statement）的參數(shù)標(biāo)記符。

例如，sqlMap 中如下的 sql 語句

select * from user where name = #{name}

解析為：

select * from user where name = ?

一個 #{ } 被解析為一個參數(shù)占位符 ? 。

${ } 僅僅為一個純碎的 string 替換，在動態(tài) SQL 解析階段將會進(jìn)行變量替換

例如，sqlMap 中如下的 sql

select * from user where name = "${name}"

當(dāng)我們傳遞的參數(shù)為 "ruhua" 時，上述 sql 的解析為：

select * from user where name = "ruhua"

預(yù)編譯之前的 SQL 語句已經(jīng)不包含變量 name 了。

綜上所得， ${ } 的變量的替換階段是在動態(tài) SQL 解析階段，而 #{ }的變量的替換是在 DBMS 中。

注意：${ } 在預(yù)編譯之前已經(jīng)被變量替換了，這會存在 sql 注入問題。