#{}和${}的区别

#{} 和 ${}的区别,如何在实际应用中使用

在平常写mybatis的动态SQL语句时,大多使用的是#{} 。至于${} ,没用过,也不知道是什么。实际大多数情景下,我们使用的也都是#{},很少有场景会用到${}。

1.两者的区别

    #{}:使用的是预编译,对应JBDC中的PreparedStatement ${}:mybatis不会修改或者转义字符换,直接输出变量值

2.实际应用

举例:

select * from mytab order by #{sortType}

在这条SQL语句中,

我的意图是:排序的字段不固定,所以需要动态参数,因此下意识使用了#{}。

结果:SQL语句正确执行,但是排序功能异常。

打印Mybatis的SQL日志:

select * from mytab order by ?
order_id

实际执行的SQL语句:

select * from mytab order by order_id

结论:使用#{}时,具体的SQL语句的参数会加上单引号,这也是导致排序失效的原因。

那么如果使用${}时什么效果?

select * from mytab order by ${sortType}

打印Mybatis的SQL日志:

select * from mytab order by order_id

**结论:**可以看出,${}中的参数是以实际值来拼接的SQL语句,而不是参数形式。

3.分析

为什么大多数的时候,我们使用的是#{}?

这里就要提到SQL注入的问题,#{}是以参数的形式,实际的SQL语句为参数值加单引号 ,从而避免了SQL注入的问题。 而${}直接输出参数值,mybatis不做转义,可能引发SQL注入问题。

4.应该如何使用?

正常情况下,我们在写MyBatis的动态SQL语句时,大都是使用在条件查询参数,如where order_id = #{id},所以不会有什么问题。但是在我们在遇到上面的例子时,我们就不能再使用#{},可以选择使用${},但是由此引发的SQL注入问题如何解决?

如何解决在使用${}时引发的SQL注入?

答案很简答,入参时做参数校验,类似order by 后面的字段虽然是动态的,但也是有范围的,都是表中的字段,所以可以使用枚举类做检查。

5.我的收获!

理论+实践 = 会用
经验分享 程序员 微信小程序 职场和发展