[Java MyBatis] #{}与${}的使用与区别(详细)
前言
最近在开始思考MyBatis中的一些细节,遇到不会的就找博客,发现这部分内容有所欠缺。虽然在这条路上我还是个新手,但每次遇到问题最常帮助我的都是这些陌生人的博客,这次就由我来吧。欢迎转载,请标明出处。有名字就更好了
#{}与${}的使用
#{}是占位符填充,如下当我们执行sql语句时会将sql语句中的 #{id} 替换成 ?号
UserDao.java 接口文件:
User queryUserByUsername(@Param("username") String username);
UserDaoMapper.xml 映射文件:
<select id="queryUserByUsername" resultMap="user_resultMap">
select id,username,password,gender,regist_time
from t_user
where username=#{username}
</select>
执行后的sql语句:
select id,username,password,gender,regist_time
from t_user
where username=?
${}是字符串拼接,多数情况下使用与#{}没区别,但是有下面几点要注意:
- 如果这个列是字符类型,我们要加引号,如where username='${username}'
- 如果传入参数是简单类型像是数字、字符串等要在UserDao.java中加@Param("username")否则${}取值会有问题
- 如果是一个引用类型的实例对象参数,那我们可以不加,如:
User queryUserByUsername(@Param("username") User user);
存在问题
使用${}当拼接sql片段时,有sql注入风险,外界参数会改变原有sql的语义,如:
//sql注入
String username = "zhangsan' or '1'='1";
注入后的sql语句:
select id,username,password,gender,regist_time
from t_user
where username='zhangsan' or '1'='1'
这就导致了哪怕你数据库中没有这个用户名也能成功查询到数据。而使用 #{ } 它会将sql语义过滤,将 zhangsan' or '1'='1 当成一个普通字符串,可以规避sql注入的风险。所以原则上能不用sql拼接就不用sql拼接,那为什么还要有 ${ } 的存在呢?是因为在有些场景中 #{ } 不能使用,如我们要给查询到的数据进行排序
String rule="desc";
String sql="select * from t_user order by id ?";
当我们在占位符上填充desc时,会导致sql语句语法出错,这就涉及了占位符的使用原则
//原则:填充数据,要和列相关
select * from t_user where id=?
inseret into t_user values(?,?,?)
update t_user set username?,password=?
显然desc与列无关,就会导致报错
小技巧
MyBatisTest.java 测试方法
@Test
public void test(){
UserDao mapper = MyBatisUtil.getMapper(UserDao.class);
Integer sig=0; //0:desc 1:asc
if(sig==0){
mapper.queryUserUsers("desc");
}else{
mapper.queryUserUsers("asc");
}
}
使用 ${ } 拼接sql片段的时候,用户传的内容只是一个依据,我们可以通过这个依据进行判断,这时我们就能拼接自己定义的内容,而不是用户输入的内容。这样即使我们拼接了语句也不会被注入,所以这是一个使用 ${ } 时非常重要的小技巧
优势与劣势
| 优势 | 劣势 | |
|---|---|---|
| ${ } 字符串拼接 | 可以随意拼接 | 有sql注入的风险 |
{ } 占位符 | 规避sql注入风险|要和列相关的位置才可以使用
总结
当我们想要去取值时,能用 #{ }就尽量用 #{ },什么时候不能用 #{ }呢?如果这个位置不是为某个列做值的相关,而是要在某些sql片段上进行动态填充,那我们必须用 ${ }来取值。
