关于{param}
首先,{parm} 传入的数据都当成一个字符串,会对自动传入的数据加一个双引号
如下:
select * from table where title = #{param}
那么解析成的sql语句为:
select * from table where title = “id”
关于SQL注入
Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一。
想要详细了解SQL注入,下面这篇博客讲得很好,可以学习学习:
SQL注入基础原理(超详细)
#{}和${}
#{}是预编译处理
${} 是字符串替换
mybatis在处理 #{} 时,会将sql中的 #{} 替换为 ? 号,调用JDBC中PreparedStatement的set方法来赋值,mybatis在处理 $ {} 时,就是把 ${ } 替换成变量的值,只是简单得字符串替换。
使用 #{} 可以有效的防止SQL注入,预编译的机制。预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。提高系统安全性。