淺談mybatis中的#和$的區(qū)別，以及防止sql注入的方法？#{ } 解析為一個(gè) JDBC 預(yù)編譯語(yǔ)句（prepared statement）的參數(shù)標(biāo)記符。例如，sqlMap 中如下的 sql 語(yǔ)句

淺談mybatis中的#和$的區(qū)別，以及防止sql注入的方法？

#{ } 解析為一個(gè) JDBC 預(yù)編譯語(yǔ)句（prepared statement）的參數(shù)標(biāo)記符。

例如，sqlMap 中如下的 sql 語(yǔ)句

select * from user where name = #{name}

解析為：

select * from user where name = ?

一個(gè) #{ } 被解析為一個(gè)參數(shù)占位符 ? 。

${ } 僅僅為一個(gè)純碎的 string 替換，在動(dòng)態(tài) SQL 解析階段將會(huì)進(jìn)行變量替換

例如，sqlMap 中如下的 sql

select * from user where name = "${name}"

當(dāng)我們傳遞的參數(shù)為 "ruhua" 時(shí)，上述 sql 的解析為：

select * from user where name = "ruhua"

預(yù)編譯之前的 SQL 語(yǔ)句已經(jīng)不包含變量 name 了。

綜上所得， ${ } 的變量的替換階段是在動(dòng)態(tài) SQL 解析階段，而 #{ }的變量的替換是在 DBMS 中。

注意：${ } 在預(yù)編譯之前已經(jīng)被變量替換了，這會(huì)存在 sql 注入問(wèn)題。

mybatis為什么可以防止sql注入？

因?yàn)樵趍ybatis中，”${xxx}”這樣格式的參數(shù)會(huì)直接參與sql編譯，從而不能避免注入攻擊。但涉及到動(dòng)態(tài)表名和列名時(shí)，只能使用“${xxx}”這樣的參數(shù)格式，所以，這樣的參數(shù)需要程序開(kāi)發(fā)者在代碼中手工進(jìn)行處理來(lái)防止注入。#xxx# 代表xxx是屬性值，map里面的key或者是你的pojo對(duì)象里面的屬性， ibatis會(huì)自動(dòng)在它的外面加上引號(hào)，表現(xiàn)在sql語(yǔ)句是這樣的 where xxx = "xxx" $xxx$ 則是把xxx作為字符串拼接到sql語(yǔ)句中， 比如 order by topicId ， 語(yǔ)句這樣寫 ... order by #xxx# ibatis 就會(huì)翻譯成order by "topicId" （這樣就會(huì)報(bào)錯(cuò)） 語(yǔ)句這樣寫 ... order by $xxx$ ibatis 就會(huì)翻譯成 order by topicId