小知识,大挑战!本文正在参与“程序员必备小知识”创作活动。
背景
Mybatis中使用parameterType进行传参,SQL中的参数占位符则是有#{}和${}两种占位符,下面我们就来看一下具体的使用方式吧。
知识点
#{test1Param}:#占位符在SQL中填充时经过预编译的,在使用#占位符填充时,设置#{test1Param}为test,执行出来是下面代码这样的。
1 | sql复制代码select * from table_test where name = #{test1Param} |
在执行时会被mybatis转换成如下SQL语句:
1 | jasqlva复制代码select * from table_test where name = 'test'; |
test1Param:{test1Param}:test1Param:占位符在SQL中填充时是没有经过预编译的,在使用占位符填充时,设置占位符填充时,设置占位符填充时,设置{test1Param}为test,执行出来是下面代码这样的。
1 | sql复制代码select * from table_test where name = ${test1Param} |
在执行时会被mybatis转换成如下SQL语句:
1 | sql复制代码select * from table_test where name = test; |
由上面的代码可以看出,$占位符就存在了SQL注入的问题,因为其传入的参数并没有经过编译,则一旦执行,其中的数据就会直接执行;#占位符因为经过了预编译,就不会存在这种SQL注入的问题了。
总结
因为SQL注入的风险很高,所以我们在开发的过程中是会极力推荐使用#占位符的,毕竟安全是我们在开发系统时要考虑的极其重要的一点。
但是总会存在使用$的情况,比如传入in的值,如下面的代码。
1 | sql复制代码select * from table_test where name in (${test1Param}); |
如上,是可以执行注入的,可以通过java代码对其进行拼接,随后通过$占位符进行注入操作即可。
本文转载自: 掘金