mybatis中的#{}和${}的区别

1.#{}  将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。
　　如：order by #{user_id}，如果传入的值是111,那么解析成sql时的值为order by "111", 
　　如果传入的值是id，则解析成的sql为order by "id".
2.$将传入的数据直接显示生成在sql中。如：order by ${user_id}，如果传入的值是111,那么解析成sql时的值为order by 111,  
如果传入的值是id，则解析成的sql为order by id.
3.#{}方式能够很大程度防止sql注入。
4.$方式无法防止Sql注入。
5.$方式一般用于传入数据库对象，例如传入表名.
6.一般能用#的就别用$.

7.#{}实现的是向prepareStatement中的预处理语句中设置参数值，sql语句中#{}表示一个占位符即?。

8.通过${}可以将parameterType传入的内容拼接在sql中且不进行jdbc类型转换

MyBatis排序时使用order by 动态参数时需要注意，用$而不是#

补充模糊查询

 

1.表达式: name like"%"#{name}"%"         #起到占位符的作用

2.表达式: name like '%${name}%'           $进行字符串的拼接,直接把传入的值,拼接上去了,没有任何问题

3. 表达式: name likeconcat(concat('%',#{username}),'%')         这是使用了cancat进行字符串的连接,同时使用了#进行占位

4. 表达式:name like CONCAT('%','${name}','%')         对上面的表达式进行了简化,更方便了

 

sql注入攻击实例参考https://blog.csdn.net/weixin_42045038/article/details/82766461

就是通过${}运算符的特性在后面在此拼接查询语句或者删除语句等

所以输入：1’ union select user,password from users#进行查询：实际执行的SQL语句是：
select first_name,last_name from users where user_id = '1' union select user,password from users#';