MyBatis中#{}和${}的區別詳解

在學校的時候，想必大家肯定聽老師講過，在mybatis中，配置引數要用#，不要用$符號。因為$不安全，容易被sql注入。講是這麼講，但是如何注入的，大家一起來看看吧。

1. #將傳入的資料都當成一個字串，會對自動傳入的資料加一個雙引號。如：order by #user_id#，如果傳入的值是111,那麼解析成sql時的值為order by "111", 如果傳入的值是id，則解析成的sql為order by "id".

2. 將傳入的資料直接顯示生成在sql中。如：orderby將傳入的資料直接顯示生成在sql中。如：orderbyuser_id$，如果傳入的值是111,那麼解析成sql時的值為order by user_id, 如果傳入的值是id，則解析成的sql為order by id.

3. #方式能夠很大程度防止sql注入。

4. $方式無法防止Sql注入。

5. $方式一般用於傳入資料庫物件，例如傳入表名.
6. 一般能用#的就別用$.

MyBatis排序時使用order by 動態引數時需要注意，用$而不是#

動態 sql 是 mybatis 的主要特性之一，在 mapper 中定義的引數傳到 xml 中之後，在查詢之前 mybatis 會對其進行動態解析。mybatis 為我們提供了兩種支援動態 sql 的語法：#{} 以及 ${}。

在下面的語句中，如果 name 的值為 zhangsan，則兩種方式無任何區別：

select * from user where name = #{name};
select * from user where name = ${name};

其解析之後的結果均為

select * from user where name = 'zhangsan';

但是 #{} 和 ${} 在預編譯中的處理是不一樣的。#{} 在預處理時，會把引數部分用一個佔位符 ? 代替，變成如下的 sql 語句：

select * from user where name = ?;

而 ${} 則只是簡單的字串替換，在動態解析階段，該 sql 語句會被解析成

select * from user where name = 'zhangsan';

以上，#{} 的引數替換是發生在 DBMS 中，而 ${} 則發生在動態解析過程中。

答案是：優先使用 #{}。因為 ${} 會導致 sql 注入的問題。

看下面的例子：

select * from ${tableName} where name = #{name}

在這個例子中，如果表名為

user; delete user; --

則動態解析之後 sql 如下：

select * from user; delete user; -- where name = ?;

--之後的語句被註釋掉，而原本查詢使用者的語句變成了查詢所有使用者資訊+刪除使用者表的語句，會對資料庫造成重大損傷，極大可能導致伺服器當機。

但是表名用引數傳遞進來的時候，只能使用 ${} 。這也提醒我們在這種用法中要小心sql注入的問題。

原文地址：