本文主要是介绍MyBatis中$与#的区别解析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
《MyBatis中$与#的区别解析》文章浏览阅读314次,点赞4次,收藏6次。MyBatis使用#{}作为参数占位符时,会创建预处理语句(PreparedStatement),并将参数值作为预处理语句...
一、介绍
#(井号):MyBATis使用#{}作为参数占位符时,会创建预处理语句(Prepared Statement),并将参数值作为预处理语句的参数绑定到SQL语句中。
使用#可以防止SQL注入攻击,因为MyBatis会自动对参数值进行转义处理。
#{}内部可以是参数的名称或者参数的索引位置(例如#{param1}或者#{1})。
SELECT * FROM users WHERE username = #{username}
$(美元符号):MyBatis使用${}作为参数占位符时,不会创建预处理语句。而是直接将参数值拼接到SQL语句中。
使用$不会对参数值进行转义,因此容易受到SQL注入攻击,除非参数值是可信的或者已经进行了适当的处理。
${}内部通常是参数的名称。
SELECT * FROM ${tableName} WHERE id = #{id}
$和#的主要区别:
a、安全性:#提供预处理语句的参数绑定,更安全,可以有效防止SQL注入;$直接将参数值拼接到SQL语句中,存在SQL注入的风险。
b、性能:#通常性能更好,因为预处理语句可以重复使用,而$每次都会生成新的SQL语句。
c、使用场景:#适用于大多数情况,特别是当参数是用户输入时;$适用于需要动态指定表名或列名的情况,因为这些部分不能作为预处理语句的参数。
因此,除非有特殊需求,通常推荐使用#来提高SQL语句的安全性和性能。
二、sql注入风险实例
1、存在 SQL 注入风险的情况(使用 $):
// Mapper 接口 public interface UserMapper { User selectUserByUsername(String username); } // XML 映射文件(存在注入风险) <select id="selectUserByUsername" resultType="User"> SELECT * FROM users WHERE username = '${usernameandroid}' </select>python
攻击示例:当输入的 username 为 ' ORjs '1'='1 时,最终生成的 SQL 语句如下:
SELECT * FROM users WHERE username = '' OR '1'='1'
这个 SQL 语句会让所有用户记录都被返回。
2、安全处理方式(使用#)
// Mapper 接口 public interface UserMapper { User selectUserByUsername(String username); } // XML 映php射文件(安全) <select id="selectUserByUsername" resultType="User"> SELECT * FChina编程ROM users WHERE username = #{username} </select>
3、预编译过程
编译后的 SQL:SELECT * FROM users WHERE username = ?
实际执行时:如果输入的 username 是 ' OR '1'='1,JDBC 会对其进行转义,转义后的值为 \' OR \'1\'=\'1。
最终效果:查询会去匹配一个名为 ' OR '1'='1 的用户,显然这样的用户是不存在的,注入攻击也就失败了。
到此这篇关于mybaits中$与#的区别解析的文章就介绍到这了,更多相关mybaits $与#区别内容请搜索China编程(www.chinasem.cn)以前的文章或继续浏览下面的相关文章希望大家以后多多支持编程China编程(www.chinasem.cn)!
这篇关于MyBatis中$与#的区别解析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!