• 周二. 9月 27th, 2022

5G编程聚合网

5G时代下一个聚合的编程学习网

热门标签

MyBatis中 #{}与${}的区别

admin

11月 28, 2021

先说结论:我们常用的是 #{},因为它可以防止SQL注入

1、#{} 是预编译处理,它会先将SQL中的#{}替换为?号编译,然后再取值

原始SQL:select * from user where user_name = #{name} 
预编译后:select * from user where user_name =
然后调用set方法来赋值‘张三’

2、${} 会先去变量值,再去编译SQL语句

原始SQL:  select * from user where user_name = #{name}
编译后SQL:select * from user where user_name = ‘张三’
这样很容易会遭到恶意SQL的拼接来非法操作数据

3、#{} 能防止SQL注入的原因如下

因为采用预编译机制,预编译完成后,SQL的结构已经固定,
这时候,即使用户输入非法的参数,也不会对SQL语句的整体结构造成影响,从而避免了SQL注入的危险
[ 版权声明 ]:
本文所有权归作者本人,文中参考的部分已经做了标记!
商业用途转载请联系作者授权!
非商业用途转载,请标明本文链接及出处!

发表回复

您的电子邮箱地址不会被公开。