在使用mybatis的时候我们会使用到#{}和${}这两个符号来为sql语句传参数

那么这两者有什么区别呢？

1.#{}是预编译处理，是占位符，${}是字符串替换，是拼接符

2.Mybatis在处理#{}的时候会将sql中的#{}替换成？号，调用PreparedStatement来赋值

如：select * from user where name = #{userName}；设userName=yuze

看日志我们可以看到解析时将#{userName}替换成了 ？

select * from user where name = ?;

然后再把yuze放进去，外面加上单引号

3.Mybatis在处理${}的时候就是把${}替换成变量的值，调用Statement来赋值

如：select * from user where name = #{userName}；设userName=yuze

看日志可以发现就是直接把值拼接上去了

select * from user where name = yuze;

这极有可能发生sql注入，下面举了一个简单的sql注入案例

4.#{}的变量替换是在DBMS中、变量替换后，#{}对应的变量自动加上单引号

5.${}的变量替换是在DBMS外、变量替换后，${}对应的变量不会加上单引号

6.使用#{}可以有效的防止sql注入，提高系统的安全性

下面举一个简单的sql注入问题：

这是一条用户的账号、密码数据

当用户登录，我们验证账号密码是否正确时用这个sql：

username=yyy;password=123

select * from user where username=${username} and password=${password}

显然这条sql没问题可以查出来，但是如果有人不知道密码但是想登录账号怎么办

我们不需要填写正确的密码：

密码输入1 or 1=1，sql执行的其实是

select * from user where username='yyy' and password=1 or 1 =1

注意：这里的yyy外面的单引号不是${}符号提供的。${}没有这个功能，可以是sql手动拼接的，这里前后逻辑可能并不严密，但是sql入去最简单的例子就是这样。

#{}和${}的区别相关推荐

1. RPC 笔记（01）— RPC概念、调用流程、RPC 与 Restful API 区别

   1. 基本概念 PRC 远程过程调用 Remote Procedure Call,其就是一个节点请求另外一个节点提供的服务.当两个物理分离的子系统需要建立逻辑上的关联时,RPC 是牵线搭桥的常见技术手 ...

2. C++ 笔记（28）— C++ 中 NULL和 nullptr 的区别

   最近看公司代码的时候发现在判断指针是否为空的时候,有的时候用的是 NULL, 有的时候用的是 nullptr 感觉很奇怪,好奇心驱使我查了下两者的区别,发现还是有很多细节需要学习的. 1. NULL ...

3. gcc 和 g++ 的联系和区别，使用 gcc 编译 c++

   GCC 编译器已经为我们提供了调用它的接口,对于 C 语言或者 C++ 程序,可以通过执行 gcc 或者 g++ 指令来调用 GCC 编译器. 实际使用中我们更习惯使用 gcc 指令编译 C 语言程序 ...

4. Python2 与 Python3 区别

   Python2.x 与 Python3.x 区别 1. print 函数 Python2 中 print 是语句(statement),Python3 中 print 则变成了函数.在 Python3 ...

5. Docker 入门系列（1）- 初识容器，镜像、容器、仓库的区别

   Docker 简介 Docker 是一个开源的应用容器引擎,基于 Go 语言 并遵从Apache2.0协议开源. Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级.可移植的容器中,然后发 ...

6. HTTP 协议入门 — （TCP/IP协议族、通信传输流、URI 与 URL 的区别、Cookie 状态管理、HTTP 支持的方法、状态码类别、HTTP 首部字段）

   TCP/IP协议族 在介绍 HTTP 协议之前,我们先对 TCP/IP 协议族有个大概的了解,TCP/IP 协议从上到下主要分为应用层.传输层.网络层和数据链路层,各层的主要功能如下表所示: 协议层 ...

7. python二进制打开(rb)和文本格式打开(r)什么区别？

   使用 open() 函数以文本格式打开文件和以二进制格式打开文件,唯一的区别是对文件中换行符的处理不同. 在 Windows 系统中,文件中用 "\r\n" 作为行末标识符(即换行 ...

8. python中__dict__与dir()区别

   前言 Python下一切皆对象,每个对象都有多个属性(attribute),Python对属性有一套统一的管理方案. __dict__与dir()的区别: dir()是一个函数,返回的是list: _ ...

9. java和C#面向对象的区别

   问题:C#中的构造函数和java的构造函数一样吗? 答: .net的项目中,写实体Entity属性时,经常会为每一个属性写一对get和set方法,在用到这个实体或是一个类时,通过new实例化一个对象, ...

10. 判别模型和生成模型的区别

    20210703 https://www.zhihu.com/question/20446337 机器学习"判定模型"和"生成模型"有什么区别? 重点 http ...

最新文章

1. R语言计算每个分组的行数并将结果添加到dataframe中实战
2. 2021年春季学期-信号与系统-第七次作业参考答案-第九小题
3. 【Linux系统编程】进程间通信--共享内存
4. 一个例子学懂搜索引擎(lucene)
5. pandas series取值_【小学生级】pandas入门到精通备查表——AI未来系列3
6. 利用C++实现哈夫曼算法
7. Seastar：多核机器上编写高效复杂的服务器应用程序的 C++ 库
8. python对于文件的读取和重建
9. 学python买什么书-想学python看哪些书
10. （转）ZooKeeper伪分布式集群安装及使用
11. win10安装马上6卡在icon.ico的一种解决方案
12. 闲来无事研究一下酷狗缓存文件kgtemp的加密方式
13. 论文笔记之Efficient Estimation of Word Representations in Vector Space
14. CRM-客户关系管理(Customer Relationship Management)
15. 机器学习算法——手动搭建决策树分类器(代码+作图)
16. MG动画值得企业参与应用吗？
17. 菜鸟级别批处理命令IF~ELSE语法问题
18. Hexo博客页脚添加ICP备案号
19. mysql架设手游_战神引擎手游架设教程
20. 浅谈垂直搜索引擎技术

热门文章

1. windows操作系统常见持久性后门
2. 学校的计算机是作文,未来的电脑学校作文
3. 电脑使用DP线连接显示器，插在显示器音频口的音响没有声音解决办法
4. 什么是FOUC？如何避免FOUC？
5. 祭奠逝者一支香，丧钟为所有生者而鸣
6. 探索Java中empty()与isEmpty()的区别
7. UEFI——UEFI Package Module
8. 一个很棒的手机app：金手指音乐曲谱​
9. 每天上下班之前读一遍，直到铭记在心……
10. w7计算机休眠网络就断了,设置Win7电脑休眠时不断开WiFi教程