mybatis #{}和${}的区别是什么?
2024-09-01 09:07:24
#{}是预编译处理,${}是字符串替换。mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值,最后注入进去是带引号的;mybatis在处理${}时,就是把${}替换成变量的值。使用#{}可以有效的防止SQL注入,提高系统安全性。
例如:
#是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'.
$是将传入的数据直接显示生成sql语句,eg:select id,name,age from student where id =${id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id = 1.
对于这个题目我感觉要抓住两点:
(1)$符号一般用来当作占位符,常使用Linux脚本的人应该对此有更深的体会吧。既然是占位符,当然就是被用来替换的。知道了这点就能很容易区分$和#,从而不容易记错了。
(2)预编译的机制。预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。我们知道,SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。
最新文章
- svn提交报e200007错误
- Mininet实验 源码安装Mininet
- Android zxing实现二维码生成和解析
- MyEclipse------随机流(能读也能写数据)
- 图中最短路径算法(Dijkstra算法)(转)
- Python 以指定概率获取元素
- 分布式PostGIS系列【1】— 概述
- Notepad++ 右键菜单自定义配置
- #include <;bitset>;
- 名片管理系统v1.1(tools)
- hibernate 持久化对象的三个状态
- flask中jinjia2模板引擎详解3
- MacOS下Rails+Nginx+SSL环境的搭建(中)
- javaScript drag对象进行拖拽使用详解
- 关于JQuery中$.get()和$.post()和$.ajax()的区别和使用
- Storm——Android SQLite数据库管理类库
- laravel项目thinksns+安装pc前端页面
- 关于jQ的Ajax操作
- echo变量失败,提示:ECHO 处于关闭状态
- m2e-wtp error: <;path>;/target/m2e-wtp/web-resources/META-INF/MANIFEST.MF (No such file or directory)