背景
Mybatis中使用parameterType进行传参,SQL中的参数占位符则是有#{}和${}两种占位符,下面我们就来看一下具体的使用方式吧。
知识点
#{test1Param}:#占位符在SQL中填充时经过预编译的,在使用#占位符填充时,设置#{test1Param}为test,执行出来是下面代码这样的。
select * from table_test where name = #{test1Param}
在执行时会被mybatis转换成如下SQL语句:
select * from table_test where name = 'test';
test1Param:占位符在SQL中填充时是没有经过预编译的,在使用占位符填充时,设置占位符填充时,设置{test1Param}为test,执行出来是下面代码这样的。
select * from table_test where name = ${test1Param}
在执行时会被mybatis转换成如下SQL语句:
select * from table_test where name = test;
由上面的代码可以看出,$占位符就存在了SQL注入的问题,因为其传入的参数并没有经过编译,则一旦执行,其中的数据就会直接执行;#占位符因为经过了预编译,就不会存在这种SQL注入的问题了。
总结
因为SQL注入的风险很高,所以我们在开发的过程中是会极力推荐使用#占位符的,毕竟安全是我们在开发系统时要考虑的极其重要的一点。
但是总会存在使用$的情况,比如传入in的值,如下面的代码。
select * from table_test where name in (${test1Param});
如上,是可以执行注入的,可以通过java代码对其进行拼接,随后通过$占位符进行注入操作即可。
