mybatis 中 #{}和 ${}的区别是什么

在MyBatis中，#{}和${}都是用来传递参数的。它们的区别在于#{}是预编译语句，可以防止SQL注入攻击，而${}是直接替换字符串，不能防止SQL注入攻击。因此，为了安全起见，建议使用#{}来传递参数。

具体来说，#{}会把传递进来的参数值替换成一个占位符，并且对占位符进行预编译处理，最终生成一个完整的SQL语句。而${}则直接把传递进来的参数值替换到SQL语句中，没有任何预编译处理。

举个例子，如果我们要传递一个字符串参数name到SQL语句中，可以这样写：

使用#{}：select * from user where name = #{name}
使用${}：select * from user where name = ${name}

如果传递的参数是"Tom' or 1=1 --"，那么使用#{}传递参数可以安全地防止SQL注入攻击，而使用${}则会导致SQL注入攻击。因此，在实际开发中，应尽量避免使用${}来传递参数。

相关问题

mybatis中#和$的区别

在MyBatis中，#和$都是用于替换SQL语句中的占位符的符号，但它们的处理方式不同。

#号表示占位符，通过预编译的方式将传入的参数值进行安全的替换，防止SQL注入攻击，同时将参数值转换为对应的JDBC类型。例如：

SELECT * FROM user WHERE id = #{userId}

在执行SQL时，#{userId}会被替换为一个?号占位符，同时userId参数的值会被预编译并设置为PreparedStatement的参数值。

$号则表示直接替换，将SQL语句中的占位符替换为传入的参数值，并不进行预编译和JDBC类型转换。例如：

SELECT * FROM user WHERE id = ${userId}

在执行SQL时，${userId}会被替换为实际的参数值，不会进行预编译和JDBC类型转换，如果参数值存在SQL注入攻击的风险，就会导致SQL注入攻击。

因此，一般情况下我们建议使用#号进行参数替换，以保证SQL语句的安全性。但如果需要动态拼接SQL语句，或者需要使用一些特殊的SQL语法，可以使用$号进行参数替换。

Mybatis中#和$ 的区别

在 MyBatis 中，"#" 和 "$" 都可以用于 SQL 语句中的参数替换，但它们的作用不同。

"$" 号表示直接拼接参数，可以将参数直接拼接到 SQL 语句中，例如：

<select id="getUser" resultType="User">
  SELECT * FROM user WHERE id = ${id}
</select>

在这个例子中，如果传入的参数 id 值为 1，那么最终执行的 SQL 语句为：

SELECT * FROM user WHERE id = 1

使用 "$" 号的缺点是容易受到 SQL 注入攻击，因为参数值是直接拼接到 SQL 语句中的。

"#" 号表示占位符，可以将参数占位符化，例如：

<select id="getUser" resultType="User">
  SELECT * FROM user WHERE id = #{id}
</select>

在这个例子中，如果传入的参数 id 值为 1，那么最终执行的 SQL 语句为：

SELECT * FROM user WHERE id = ?

MyBatis 会将参数值设置到 SQL 语句中的占位符中，避免了 SQL 注入攻击。使用 "#" 号的缺点是可能会存在 SQL 注入攻击，因为占位符会被替换为参数值，如果参数值不合法，可能会导致 SQL 注入攻击。

综上所述，使用 "#" 号是更安全的方式，建议在 MyBatis 中使用 "#" 号来进行参数替换。