前言

在開發(fā)中使用Mybatis經(jīng)常使用到#{}與${}，依舊有很多開發(fā)者對二者的使用不是很清晰，正所謂好記性不如爛筆頭，特此總結(jié)一下。

在mybatis中動(dòng)態(tài) sql 是其主要特性之一，在 mapper 中定義的參數(shù)傳到 xml 中之后，在執(zhí)行操作之前 mybatis 會(huì)對其進(jìn)行動(dòng)態(tài)解析。mybatis 提供了兩種支持動(dòng)態(tài) sql 的語法：#{} 以及 $ { }， 其最大的區(qū)別則是前者方式能夠很大程度防止sql注入(安全)，后者方式無法防止Sql注入 。什么？？不懂什么是Sql注入？額。。。Sql注入指的是程序解析時(shí)會(huì)將你傳入的參數(shù)作為原來SQL語句的一部分，打亂原來SQL的結(jié)構(gòu)，而通常我們只是需要傳入一個(gè)參數(shù)而已.

徹底理解SQL注入

什么？還不懂SQL注入，我湖了QAQ。。。那就來個(gè)最簡單的例子：一般開發(fā)，肯定是在前臺(tái)有兩個(gè)輸入框，一個(gè)用戶名，一個(gè)密碼，會(huì)在后臺(tái)里，讀取前臺(tái)傳入的這兩個(gè)參數(shù)，拼成一段SQL，例如： select count(1) from tab where usesr=userinput and pass = passinput,把這段SQL連接數(shù)據(jù)后，看這個(gè)用戶名/密碼是否存在，如果存在的話，就可以登陸成功了，如果不存在，就報(bào)一個(gè)登陸失敗的錯(cuò)誤。對吧。 但是有這樣的情況，這段SQL是根據(jù)用戶輸入拼出來，如果用戶故意輸入可以讓后臺(tái)解析失敗的字符串，這就是SQL注入，例如，用戶在輸入密碼的時(shí)候，輸入 '''' ' or 1=1'', 這樣，后臺(tái)的程序在解析的時(shí)候，拼成的SQL語句，可能是這樣的： select count(1) from tab where user=userinput and pass='' or 1=1; 看這條語句，可以知道，在解析之后，用戶沒有輸入密碼，加了一個(gè)恒等的條件 1=1，這樣，這段SQL執(zhí)行的時(shí)候，返回的 count值肯定大于1的，如果程序的邏輯沒加過多的判斷，這樣就能夠使用用戶名 userinput登陸，而不需要密碼。 防止SQL注入，首先要對密碼輸入中的單引號進(jìn)行過濾，再在后面加其它的邏輯判斷，或者不用這樣的動(dòng)態(tài)SQL拼

關(guān)于 # { }

1、#{}表示一個(gè)占位符號 相當(dāng)于 jdbc 中的 ? 符號 #{}實(shí)現(xiàn)的是向prepareStatement中的預(yù)處理語句中設(shè)置參數(shù)值，sql語句中#{}表示一個(gè)占位符即?

2、#{}將傳入的數(shù)據(jù)都當(dāng)成一個(gè)字符串，會(huì)對自動(dòng)傳入的數(shù)據(jù)加一個(gè)雙引號。如： select * from user where id= #{user_id} ，如果傳入的值是11,那么解析成sql時(shí)的值為 where id="11" ，

3、如果sql語句中只有 一個(gè)參數(shù) ,此時(shí)參數(shù)名稱可以 隨意定義 如果sql語句有 多 個(gè)參數(shù),此時(shí)參數(shù)名稱應(yīng)該是與當(dāng)前表關(guān)聯(lián)[實(shí)體類的屬性名]或則[Map集合關(guān)鍵字]， 不能隨便寫，必須對應(yīng) ！如下圖

關(guān)于$ { }

1、 {user_id} ，如果傳入的值是11,那么解析成sql時(shí)的值為 where id=11`

2、 $ {value} 中 value 值有限制只能寫對應(yīng)的value值不能隨便寫，因?yàn)?${} 不會(huì)自動(dòng)進(jìn)行jdbc類型轉(zhuǎn)換

3、簡單來說,在 JDBC 不支持使用占位符的地方,都可以使用 ${}

Mybatis中#{}與${}的區(qū)別

簡單來說區(qū)別就是

#{}方式能夠很大程度防止sql注入(安全)，${}方式無法防止Sql注入

在 JDBC 能使用占位符的地方,最好優(yōu)先使用 #{}

在 JDBC 不支持使用占位符的地方,就只能使用 ${} ，典型情況就是 動(dòng)態(tài)參數(shù)

比如 有兩張表,分別是 emp_2017 和 emp_2018 .如果需要在查詢語句中 動(dòng)態(tài)指定表名 ,就只能使用${}

<select>
  select * from emp_ ${year}
<select>

再比如MyBatis 排序時(shí)使用 order by 動(dòng)態(tài)參數(shù) 時(shí),此時(shí)也只能使用${}

<select>
  select * from dept order by ${name}
</select>

代碼案例

一般# {}與$ {}用的比較多的地方是模糊查詢方面，所以下面來一個(gè)模糊查詢的案例

使用#{}案例

1、映射文件

在User.xml配置文件中添加如下內(nèi)容：

<!-- 如果返回多個(gè)結(jié)果，mybatis會(huì)自動(dòng)把返回的結(jié)果放在list容器中 -->
	<!-- resultType的配置和返回一個(gè)結(jié)果的配置一樣 -->
	<select id="queryUserByUsername1" parameterType="string"
		resultType="cn.itcast.mybatis.pojo.User">
		SELECT * FROM `user` WHERE username LIKE #{username}
	</select>

2、測試程序

MybatisTest中添加測試方法如下：

@Test
	public void testQueryUserByUsername1() throws Exception {
		// 4. 創(chuàng)建SqlSession對象
		SqlSession sqlSession = sqlSessionFactory.openSession();

		// 5. 執(zhí)行SqlSession對象執(zhí)行查詢，獲取結(jié)果User
		// 查詢多條數(shù)據(jù)使用selectList方法
		List<Object> list = sqlSession.selectList("queryUserByUsername1", "%王%");

		// 6. 打印結(jié)果
		for (Object user : list) {
			System.out.println(user);
		}

		// 7. 釋放資源
		sqlSession.close();
	}

測試效果如下圖：

使用$ {}案例

1、映射文件：

在User.xml配置文件中添加如下內(nèi)容：

<!-- 如果傳入的參數(shù)是簡單數(shù)據(jù)類型，${}里面必須寫value -->
	<select id="queryUserByUsername2" parameterType="string"
		resultType="cn.itcast.mybatis.pojo.User">
		SELECT * FROM `user` WHERE username LIKE '%${value}%'
	</select>

2.測試程序：MybatisTest中添加測試方法如下：

@Test
public void testQueryUserByUsername2() throws Exception {
	// 4. 創(chuàng)建SqlSession對象
	SqlSession sqlSession = sqlSessionFactory.openSession();

	// 5. 執(zhí)行SqlSession對象執(zhí)行查詢，獲取結(jié)果User
	// 查詢多條數(shù)據(jù)使用selectList方法
	List<Object> list = sqlSession.selectList("queryUserByUsername2", "王");

	// 6. 打印結(jié)果
	for (Object user : list) {
		System.out.println(user);
	}

	// 7. 釋放資源
	sqlSession.close();
}

當(dāng)然兩個(gè)案例效果一致！

以上就是本文的全部內(nèi)容，希望對大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

最新評論