前言
MyBatis中动态sql是其主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在执行操作之前 mybatis 会对其进行动态解析。
MyBatis提供了两种支持动态 sql 的语法:#{} 以及 $ {},其最大的区别则是#{}方式能够很大程度防止sql注入(安全),${}方式无法防止Sql注入。
SQL注入
${}方式是将形参和SQL语句直接拼接形成完整的SQL命令后,再进行编译。所以可以通过设计形参变量的值,从而改变SQL语句产生安全隐患,即为SQL注入攻击。举例说明:
在Mapper映射文件中:
<select id="findByName" parameterType="String" resultMap="ResultMap">
SELECT * FROM user WHERE username='${value}'
</select>
当username=” ‘or 1=1 or’ “传入后,${}将变量内容直接和sql语句进行拼接。
SELECT * FROM user WHERE username='' OR 1=1 OR '';
该跳语句可以将整个数据库用户内容暴露出来。
#{}方式则是先用占位符代替参数将SQL语句先进行编译,然后再讲参数中的内容替换进去。因为SQL语句已经被预编译过,其SQL意图将无法通过非法的参数内容实现更改,其参数中的内容,无法变为SQL命令的一部分。
故,#{}可以防止SQL注入而${}却不行
关于#{}
- #{}表示一个占位符,相当于jdbc中的?符号
- 当#{}传入的数据是一个字符串时,会自动将传入的数据加一个双引号。
比如:SELECT * FROM user WHERE username=#{value},如果传入的值是bbq,那么解析成sql时的值就是where username=“bbq” - 如果sql语句中只有一个参数,此时参数名称可以随意定义。如果sql语句有多个参数,此时参数名称应该是与当前表关联[实体类的属性名]或则[Map集合关键字],不能随便写,必须对应!
关于${}
- $ {}将传入的数据直接显示生成在sql中。如:select * from user where id= $ {user_id},如果传入的值是1006,那么解析成sql时的值为where id=1006
- $ {value}中value值有限制只能写对应的value值不能随便写,因为${}不会自动进行jdbc类型转换
- 在JDBC不支持使用占位符的地方,都可以使用${}
总结
- 如果在sql语句中动态指定表名或列名时,只能使用${}
- MyBatis排序时order by 动态参数时,只能使用${}
- MyBatis能使用#{}的时候尽量使用#{}
- #{}不需要关注数据类型,mybatis实现自动数据类型转换;${}不做数据类型转换,需要自行判断数据类型;
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/119789.html
