mybatis #{} 和 ${} 的区别

#{}是预编译处理，${}是字符串替换。

· Mybatis在处理#{}时，会将sql中的#{}替换为?号，调用PreparedStatement的set方法来赋值；

· Mybatis在处理{}时，就是把时，就是把{}替换成变量的值。

使用#{}可以有效的防止SQL注入，提高系统安全性。

 

一、什么是Sql注入

sql注入是一种代码注入技术，将恶意的sql插入到被执行的字段中，以不正当的手段多数据库信息进行操作。

在jdbc中使用一般使用PreparedStatement就是为了防止sql注入。

比如代码 ：

"select * from user where id =" + id;

正常执行不会出现问题，一旦被sql注入，比如将传入参数id=“3 or 1 = 1”，那么sql会变成

"select * from user where id = 3 or 1 = 1"

 

这样全部用户信息就一览无遗了。

二、MyBatis中防止sql注入

下面是Mybatis的两种sql。

  <select id="selectByPrimaryKey" resultMap="BaseResultMap"         
                        parameterType="java.lang.Integer" >
    select 
    <include refid="Base_Column_List" />
    from user
    where id = #{id,jdbcType=INTEGER}
  </select>

  <select id="selectByPrimaryKey" resultMap="BaseResultMap" 
                         parameterType="java.lang.Integer" >
    select 
    <include refid="Base_Column_List" />
    from user
    where id = ${id,jdbcType=INTEGER}
  </select>

 

可以很清楚地看到，主要是#和$的区别。

# 将sql进行预编译"where id = ?"，然后底层再使用PreparedStatement的set方法进行参数设置。

$ 将传入的数据直接将参数拼接在sql中，比如 “where id = 123”。

因此，#与$相比，#可以很大程度的防止sql注入，因为对sql做了预编译处理，因此在使用中一般使用#{}方式。

 

三、演示

在项目中配置log4j。方便查看sql日志。

#方式

查看日志，sql进行了预编译，使用了占位符，防止了sql注入。  
[cn.jxust.cms.dao.UserMapper.selectByPrimaryKey] - ==>  Preparing: select id, stuId, username, password, type, info from user where id = ? 
[cn.jxust.cms.dao.UserMapper.selectByPrimaryKey] - ==> Parameters: 1(Integer)
[cn.jxust.cms.dao.UserMapper.selectByPrimaryKey] - <==      Total: 1

 

$方式

$传入的数据直接显示在sql中
[cn.jxust.cms.dao.UserMapper.selectByPrimaryKey] - ==>  Preparing: select id, stuId, username, password, type, info from user where id = 1 
[cn.jxust.cms.dao.UserMapper.selectByPrimaryKey] - ==> Parameters: 
[cn.jxust.cms.dao.UserMapper.selectByPrimaryKey] - <==      Total: 1

 

附：使用$方式时，需要在mapper接口中使用@Param注解。否则会报There is no getter for property named 'id' in 'class java.lang.Integer'错误。

User selectByPrimaryKey(@Param(value = "id") Integer id);