MyBatis中$与#的区别解析

一、介绍

#（井号）：MyBATis使用#{}作为参数占位符时，会创建预处理语句（Prepared Statement），并将参数值作为预处理语句的参数绑定到SQL语句中。

使用#可以防止SQL注入攻击，因为MyBatis会自动对参数值进行转义处理。

#{}内部可以是参数的名称或者参数的索引位置（例如#{param1}或者#{1}）。

SELECT * FROM users WHERE username = #{username}

$（美元符号）：MyBatis使用${}作为参数占位符时，不会创建预处理语句。而是直接将参数值拼接到SQL语句中。

使用$不会对参数值进行转义，因此容易受到SQL注入攻击，除非参数值是可信的或者已经进行了适当的处理。

${}内部通常是参数的名称。

SELECT * FROM ${tableName} WHERE id = #{id}

$和#的主要区别：

a、安全性：#提供预处理语句的参数绑定，更安全，可以有效防止SQL注入；$直接将参数值拼接到SQL语句中，存在SQL注入的风险。

b、性能：#通常性能更好，因为预处理语句可以重复使用，而$每次都会生成新的SQL语句。

c、使用场景：#适用于大多数情况，特别是当参数是用户输入时；$适用于需要动态指定表名或列名的情况，因为这些部分不能作为预处理语句的参数。

因此，除非有特殊需求，通常推荐使用#来提高SQL语句的安全性和性能。

二、sql注入风险实例

1、存在 SQL 注入风险的情况（使用 $）：

// Mapper 接口
public interface UserMapper {
    User selectUserByUsername(String username);
}
// XML 映射文件（存在注入风险）
<select id="selectUserByUsername" resultType="User">
    SELECT * FROM users WHERE username = '${usernameandroid}'
</select>python

攻击示例：当输入的 username 为 ' ORjs '1'='1 时，最终生成的 SQL 语句如下：

SELECT * FROM users WHERE username = '' OR '1'='1'

这个 SQL 语句会让所有用户记录都被返回。

2、安全处理方式（使用#）

// Mapper 接口
public interface UserMapper {
    User selectUserByUsername(String username);
}
// XML 映php射文件（安全）
<select id="selectUserByUsername" resultType="User">
    SELECT * FChina编程ROM users WHERE username = #{username}
</select>

3、预编译过程

编译后的 SQL：SELECT * FROM users WHERE username = ?
实际执行时：如果输入的 username 是 ' OR '1'='1，JDBC 会对其进行转义，转义后的值为 \' OR \'1\'=\'1。
最终效果：查询会去匹配一个名为 ' OR '1'='1 的用户，显然这样的用户是不存在的，注入攻击也就失败了。

到此这篇关于mybaits中$与#的区别解析的文章就介绍到这了,更多相关mybaits $与#区别内容请搜索China编程(www.chinasem.cn)以前的文章或继续浏览下面的相关文章希望大家以后多多支持编程China编程(www.chinasem.cn)！