一般說來,二者的區別可總結為以下6點:
(1)#將傳入的資料都當成乙個字串,會對自動傳入的資料加乙個雙引號。如:order by #user_id#,如果傳入的值是111,那麼解析成sql時的值為order by "111",如果傳入的值是id,則解析成的sql為order by "id"。
(2)$將傳入的資料直接顯示生成在sql中。如:order by $user_id$,如果傳入的值是111,那麼解析成sql時的值為order by user_id, 如果傳入的值是id,則解析成的sql為order by id。
(3)#方式在很大程度上能夠防止sql注入。
(4)$方式無法防止sql注入。
(5)$方式一般用於傳入資料庫物件,例如傳入表名。
(6)一般能用#的就別用$。
ps:在使用mybatis中還遇到的用法,在該符號內的語句,將不會被當成字串來處理,而是直接當成sql語句,比如要執行乙個儲存過程。
例項講解:
在下面的語句中,如果 name 的值為 zhangsan,則兩種方式無任何區別:
select * from user where name = #;
select * from user where name = $;
其解析之後的結果均為
select * from user where name = 'zhangsan';
但是 #{} 和 ${} 在預編譯中的處理是不一樣的。#{} 在預處理時,會把引數部分用乙個佔位符 ? 代替,變成如下的 sql 語句:
select * from user where name = ?;
而 ${} 則只是簡單的字串替換,在動態解析階段,該 sql 語句會被解析成
select * from user where name = 'zhangsan';
以上,#{} 的引數替換是發生在 dbms 中,而 ${} 則發生在動態解析過程中。
那麼,在使用過程中我們應該使用哪種方式呢?
答案是:優先使用 #{}。因為 ${} 會導致 sql 注入的問題。
看下面的例子:
select * from $ where name = #
在這個例子中,如果表名為
user; delete user; --
則動態解析之後 sql 如下:
select * from user; delete user; -- where name = ?;
--之後的語句被注釋掉,而原本查詢使用者的語句變成了查詢所有使用者資訊+刪除使用者表的語句,會對資料庫造成重大損傷,極大可能導致伺服器宕機。
但是表名用引數傳遞進來的時候,只能使用 ${} 。這也提醒我們在這種用法中要小心sql注入的問題。
myBatis中 和 區別
1.將傳入的資料都當成乙個字串,會對自動傳入的資料加乙個雙引號。如 order by user id 如果傳入的值是111,那麼解析成sql時的值為order by 111 如果傳入的值是id,則解析成的sql為order by id 2.將傳入的資料直接顯示生成在sql中。如 order by u...
mybatis 中 和 區別
在使用mybatis 框架時 在xml的配置檔案中,通常是使用 來獲取數值的 如 select from t user inf where id 這時 如果你傳入的值為zhangsan 則會編譯成為 select from t user inf where id zhangsan mybatis 會...
Mybatis 中 和 區別
號與 區別 號表示引數,代表乙個字串。如 select a,b,c from table1 where id value 傳入引數後如 value 1 則可生成 select a,b,c from table1 where id 1 select a,b,c from table1 where ci...