Mybatis中${}与#{}的区别

x33g5p2x  于2021-10-07 转载在 其他  
字(3.7k)|赞(0)|评价(0)|浏览(176)

前言

提示:这里可以添加本文要记录的大概内容:
例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。

提示:以下是本篇文章正文内容,下面案例可供参考

一、/#{}与${}的区别

1.1 防止SQL注入

1. 当我们有多个Mapper接口进行查询时,如果只有查询的属性字段不同,会造成代码重复率较高
	2. #{}:表示一个占位符 经过预编译就变成了 ? 占位符,SQL代码不会被恶意更改
		使用#{}经过解析在SQL语句中为:
		DEBUG [main] - ==>  Preparing: select * from team where id=?   
	3. ${} 经过解析后变成了字符串数据,可以通过SQL注入进行恶意修改SQL
		DEBUG [main] - ==>  Preparing: select * from team where id=1

测试 /#{}:

1. Mapper接口
		List<Team> queryByColumn(@Param("column") String column,@Param("columnValue") String columnValue);	
	2. Mapper映射文件
		<select id="queryByColumn" resultType="com.mk.study.Team">
        	select * from team where ${column}=#{columnValue}
    	</select>
	3. 测试
		@Test
	    public void demo8(){
	        TeamDao mapper = MybatisUtil.getOpenSession().getMapper(TeamDao.class);
	        List<Team> lists = mapper.queryByColumn("id", "1");
	        lists.forEach(list -> System.out.println(list));
	    }

结果:
where 查询条件后 为 ? 占位符可以有效防止SQL注入

测试 ${}:

1. Mapper接口
			List<Team> queryByColumn(@Param("column") String column,@Param("columnValue") String columnValue);	
	2. Mapper映射文件
			<select id="queryByColumn" resultType="com.mk.study.Team">
        	select * from team where ${column}=${columnValue}
    	</select>
	3. 测试
		@Test
	    public void demo8(){
	        TeamDao mapper = MybatisUtil.getOpenSession().getMapper(TeamDao.class);
	        List<Team> lists = mapper.queryByColumn("id", "1");
	        lists.forEach(list -> System.out.println(list));
	    }

结果:
where 查询条件后为 1 数据,那么我们可以进行拼接SQL语句进行SQL注入,导数数据不安全

测试 ${} 和/#{} 下使用SQL注入

  1. ${} 测试
1. Mapper接口
			List<Team> queryByColumn(@Param("column") String column,@Param("columnValue") String columnValue);	
    2. Mapper映射文件
			<select id="queryByColumn" resultType="com.mk.study.Team">
        		select * from team where ${column}=${columnValue}
    		</select>
    3. 测试
    	@Test
	    public void demo8(){
	        TeamDao mapper = MybatisUtil.getOpenSession().getMapper(TeamDao.class);
	        List<Team> lists = mapper.queryByColumn("id", "100 or 1=1");
	        lists.forEach(list -> System.out.println(list));
	    }

结果:
当我们在where查询条件后 拼接 一个 or 1=1 我们来看一下结果,本应该是查不到id=100,但是我们在后面拼接了SQL,查询结果把数据库中的数据全部查询出来,导致数据的不安全

  1. /#{} 测试,我们还是使用上面的测试代码进行测试/#{}
1. Mapper接口
			List<Team> queryByColumn(@Param("column") String column,@Param("columnValue") String columnValue);	
	2. Mapper映射文件
			<select id="queryByColumn" resultType="com.mk.study.Team">
        		select * from team where ${column}=#{columnValue}
    		</select>
	3. 测试
    	@Test
	    public void demo8(){
	        TeamDao mapper = MybatisUtil.getOpenSession().getMapper(TeamDao.class);
	        List<Team> lists = mapper.queryByColumn("id", "100 or 1=1");
	        lists.forEach(list -> System.out.println(list));
	    }

结果:查不出来数据,当查询时使用了 /#{} 的where条件是 where id=“1 or 1=1” 数据库表中属性字段id是不存在这个数据的

1.2 减少代码重复率(使用不多)

1. 当我们有多个Mapper接口进行查询时,如果只有查询的属性字段不同,会造成代码重复率较高
	2. ${}还可以表示字符串原样替换,通知Mybatis 使用$包含的“字符串”替换所在位置。
1. 两个查询条件,发现除了查询的字段属性不同外,其余一模一样
		select * from team where id=#{id}
		select * from team where name=#{name}
	2. 改进
	3. Mapper接口
		    List<Team> queryByColumn(@Param("column") String column,@Param("columnValue") String columnValue);
	4. Mapper映射文件
		<select id="queryByColumn" resultType="com.mk.study.Team">
        select * from team where ${column}=#{columnValue}
    </select>
	5. 测试
		@Test
	    public void demo8(){
	        TeamDao mapper = MybatisUtil.getOpenSession().getMapper(TeamDao.class);
	        List<Team> lists = mapper.queryByColumn("id", "1");
	        List<Team> lists2 = mapper.queryByColumn("name", "张三");
	        System.out.println("id查询的数据");
	        lists.forEach(list -> System.out.println(list));
	        System.out.println("name查询的数据");
	        lists2.forEach(lists22 -> System.out.println(lists22));
	    }

结果:
我们发现 当我们查询条件改成 ${Column}=/#{ColumnValue}时,查询的字段随着我们的更改SQL也进行了更改

相关文章

微信公众号

最新文章

更多