區別
1.#將傳入的數據都當成一個字符串,會對自動傳入的數據加一個雙引號。如:order by #user_id#,如果傳入的值是111,那麼解析成sql時的值爲order by "111", 如果傳入的值是id,則解析成的sql爲order by "id".
2.將傳入的數據直接顯示生成在sql中。如:orderby將傳入的數據直接顯示生成在sql中。如:orderbyuser_id$,如果傳入的值是111,那麼解析成sql時的值爲order by user_id, 如果傳入的值是id,則解析成的sql爲order by id.
3.#方式能夠很大程度防止sql注入。
4.$方式無法防止Sql注入。
5.$方式一般用於傳入數據庫對象,例如傳入表名.
6.一般能用#的就別用$.
MyBatis排序時使用order by 動態參數時需要注意,用$而不是#
實例講解:
動態 sql 是 mybatis 的主要特性之一,在 mapper 中定義的參數傳到 xml 中之後,在查詢之前 mybatis 會對其進行動態解析。mybatis 爲我們提供了兩種支持動態 sql 的語法:#{} 以及 ${}。
在下面的語句中,如果 name 的值爲 zhangsan,則兩種方式無任何區別:
select * from user where name = #{name};
select * from user where name = ${name};
其解析之後的結果均爲
select * from user where name = 'zhangsan';
但是 #{} 和 ${} 在預編譯中的處理是不一樣的。
#{} 在預處理時,會把參數部分用一個佔位符 ? 代替,變成如下的 sql 語句:
select * from user where name = ?;
而 ${} 則只是簡單的字符串替換,在動態解析階段,該 sql 語句會被解析成
select * from user where name = 'zhangsan';
以上,#{} 的參數替換是發生在 DBMS 中,而 ${} 則發生在動態解析過程中。
那麼,在使用過程中我們應該使用哪種方式呢?
答案是:優先使用 #{}。因爲 ${} 會導致 sql 注入的問題。
看下面的例子:
select * from ${tableName} where name = #{name}
在這個例子中,如果表名爲
user; delete user; --
則動態解析之後 sql 如下:
select * from user; delete user; -- where name = ?;
--之後的語句被註釋掉,而原本查詢用戶的語句變成了查詢所有用戶信息+刪除用戶表的語句,會對數據庫造成重大損傷,極大可能導致服務器宕機。
但是表名用參數傳遞進來的時候,只能使用 ${} 。這也提醒我們在這種用法中要小心sql注入的問題。