一篇文章弄懂Mybatis中#和$的区别

一篇文章弄懂Mybatis中#和$的区别

目录前言一：下面我们写个关于“#”的个sql，看能不能注入。1.正常传参2.拼接传参二：下面我们写个关于“$”的个sql，看能不能注入。1.正常传参2.拼接传参总结

前言

在学校的时候，想必大家肯定听老师讲过，在mybatis中，配置参数要用#，不要用$符号。因为$不安全，容易被sql注入。讲是这么讲，但是如何注入的，大家一起来看看吧。

一：下面我们写个关于“#”的个sql，看能不能注入。

SELECT

acc.user_name FROM dfws_sys_user_account AS acc

WHERE

acc.user_name like #{userName}

1.正常传参

DfwsSysUserAccount user = new DfwsSysUserAccount();

user.setUserName("wanglingzhi");

List list = userAccountService.selectUser(user);

if(list!=null && list.size()>0){

for (DfwsSysUserAccount u:list) {

System.out.println("用户名："+u.getUserName());

}

}else{

System.out.println("暂无数据");

}

sql打印：

Preparing: SELECT acc.user_name FROM dfws_sys_user_account AS acc WHERE acc.user_name = ?

Parameters: wanglingzhi(String)

2.拼接传参

DfwsSysUserAccount user = new DfwsSysUserAccount();

user.setUserName("'wanglingzhi' or accRaeAAp.user_name = 'shuizhong'");

List list = userAccountService.selectUser(user);

if(list!=null && list.size()>0){

for (DfwsSysUserAccount u:list) {

System.out.println("用户名："+u.getUserName());

}

}else{

System.out.println("暂无数据");

}

sql打印：

Preparing: SELECT acc.user_name FROM dfws_sys_user_account AS acc WHERE acc.user_name = ?

Parameters: wanglingzhi or acc.user_name = shuizhong(String)

二：下面我们写个关于“$”的个sql，看能不能注入。

SELECT

acc.user_name FROM dfws_sys_user_account AS acc

WHERE

acc.user_name like ${userName}

RaeAAp

1.正常传参

DfwsSysUserAccount user = new DfwsSysUserAccount();

user.setUserName("'wanglingzhi'");

List list = userAccountService.selectUser(user);

if(list!=null && list.size()>0){

for (DfwsSysUserAccount u:list) {

System.out.println("用户名："+u.getUserName());

}

}else{

System.out.println("暂无数据");

}

打印sql：

SELECT acc.user_name FROM dfws_sys_user_account AS acc WHERE acc.user_name = 'wanglingzhi'

2.拼接传参

DfwsSysUserAccount user = new DfwsSysUserAccount();

user.setUserName("'wanglingzhi' or acc.user_name = 'shuizhong'");

List list = userAccountService.selectUser(user);

if(list!=null && list.size()>0){

for (DfwsSysUserAccount u:list) {

System.out.println("用户名："+u.getUserName());

}

}else{

System.out.println("暂无数据");

}

打印sql:

SELECT acc.user_name FROM dfws_sys_user_account AS acc WHERE acc.user_name = 'wanglingzhi' or acc.user_name = 'shuizhong'

很显然，这里已经sql注入了。

总结下，一般说来，二者的区别可总结为以下6点：

（1）#将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。如：order by #user_id#，如果传入的值是111，那么解析成sql时的值为order by "111"，如果传入的值是id，则解析成的sql为order by "id"。

（2）$将传入的数据直接显示生成在sql中。如：order by $user_id$，如果传入的值是111，那么解析成sql时的值为order by user_id， 如果传入的值是id，则解析成的sql为order by id。

（3）#方式在很大程度上能够防止sql注入。

（4）$方式无法防止sql注入。

（5）$方式一般用于传入数据库对象，例如传入表名。

（6）一般能用#的就别用$。

ps:在使用mybatis中还遇到<![CDATA[]]>的用法，在该符号内的语句，将不会被当成字符串来处理，而是直接当成sql语句，比如要执行一个存储过程。

总结

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。