mybatis中的#和$的區別
1. #將傳入的數據都當成一個字符串,會對自動傳入的數據加一個雙引號。如:order by #user_id#,若是傳入的值是111,那麼解析成sql時的值爲order by "111", 若是傳入的值是id,則解析成的sql爲order by "id".
2. $將傳入的數據直接顯示生成在sql中。如:order by $user_id$,若是傳入的值是111,那麼解析成sql時的值爲order by user_id, 若是傳入的值是id,則解析成的sql爲order by id.
3. #方式可以很大程度防止sql注入。
4.$方式沒法防止Sql注入。
5.$方式通常用於傳入數據庫對象,例如傳入表名.
6.通常能用#的就別用$.
MyBatis排序時使用order by 動態參數時須要注意,用$而不是#
字符串替換
默認狀況下,使用#{}格式的語法會致使MyBatis建立預處理語句屬性並以它爲背景設置安全的值(好比?)。這樣作很安全,很迅速也是首選作法,有時你只是想直接在SQL語句中插入一個不改變的字符串。好比,像ORDER BY,你能夠這樣來使用:
ORDER BY ${columnName}
這裏MyBatis不會修改或轉義字符串。
重要:接受從用戶輸出的內容並提供給語句中不變的字符串,這樣作是不安全的。這會致使潛在的SQL注入攻擊,所以你不該該容許用戶輸入這些字段,或者一般自行轉義並檢查。sql
說一下用#{},和 ${}傳參的區別,數據庫
使用#傳入參數是,sql語句解析是會加上"",好比 select * from table where name = #{name} ,傳入的name爲小李,那麼最後打印出來的就是安全
select * from table where name = ‘小李’,就是會當成字符串來解析,這樣相比於$的好處是比較明顯對的吧,#{}傳參能防止sql注入,若是你傳入的參數爲 單引號',那麼若是使用${},這種方式 那麼是會報錯的,對象
另一種場景是,若是你要作動態的排序,好比 order by column,這個時候務必要用${},由於若是你使用了#{},那麼打印出來的將會是排序
select * from table order by 'name' ,這樣是沒用,字符串
目前來看,能用#就不要用$,table
- 1. mybatis中的#和$的區別
- 2. mybatis中的#{}和${}的區別
- 3. Mybatis中的$和#的區別
- 4. MyBatis 中的#和$的區別
- 5. Mybatis中的 ${ } 和 #{ }的區別
- 6. Mybatis中的#和$的區別
- 7. MyBatis中#{ }和${ }的區別
- 8. mybatis中#{}和${}的區別
- 9. mybatis中#和$的區別
- 10. (轉)mybatis中#和$的區別
- 更多相關文章...
- • Spring中Bean的作用域 - Spring教程
- • 現實生活中的 XML - XML 教程
- • C# 中 foreach 遍歷的用法
- • 適用於PHP初學者的學習線路和建議
-
每一个你不满意的现在,都有一个你没有努力的曾经。