写sql的时候 在mybatis的mapper.xml时我们会用到#{},${}。
区别:
#{}叫预编译处理,mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值;传进来的数据会加个” “(#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号),有效防止sql注入。
${}就是字符串替换,字符串拼接参数。直接替换掉占位符。$方式一般用于传入数据库对象,例如传入表名.
sql注入:
什么是 SQL 注入呢?比如 select * from user where id = ${value}
value 应该是一个int类型。然后如果传过来的是 11 and name = han。这样就相当于多加了一个条件,把SQL语句直接写进来了。如果是攻击性的语句呢?11;drop table user,直接把表给删了,这下就删库跑路了,所以尽量用#{}
版权声明:本文为weixin_55555593原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。