MyBatis与iBatis中#和$占位符的区别
2017-03-21 21:52
337 查看
iBatis
$value$
1. 没有进行预编译,直接将传入的参数替换value2. 容易发生SQL注入
[b](没有对SQL进行预编译)
[/b]
(student.xml中的SQL语句)
(尝试进行sql注入)
(sql成功被注入)
#value#
1. 会进行预编译成?占位符2. 不会发生SQL注入
(SQL将参数预编译成?占位符)
(Student.xml中的SQL语句)
(尝试进行SQL注入)
(sql注入失败)
MyBatis
#{value}
使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句中如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且在使用#{}时形成的sql语句,已经带有引号,例,select * from table1 where id=#{id} 在调用这个语句时我们可以通过后台看到打印出的sql为:select * from table1 where id='2' 加入传的值为2.也就是说在组成sql语句的时候把参数默认为字符串。${[b]value}[/b]
使用${}时的sql不会当做字符串处理,是什么就是什么,如上边的语句:select * from table1 where id=${id} 在调用这个语句时控制台打印的为:select * from table1 where id=2 ,假设传的参数值为2从上边的介绍可以看出这两种方式的区别,我们最好是能用#{}则用它,因为它可以防止sql注入,且是预编译的,在需要原样输出时才使用${},如,
select * from ${tableName} order by ${id} 这里需要传入表名和按照哪个列进行排序 ,加入传入table1、id 则语句为:select * from table1 order by id
如果是使用#{} 则变成了select * from 'table1' order by 'id' 我们知道这样就不对了。
另,在使用以下的配置时,必须使用#{}
<select id="selectMessageByIdI" parameterType="int" resultType="Message">
select * from message where id=#{id};
</select>在parameterType是int时,sql语句中必须是#{}。
相关文章推荐
- iBatis 到 MyBatis区别
- Hibernate VS MyBatis 区别 Hibernate3和MyBatis(iBatis)的执行效率比较
- mybatis与ibatIS的区别
- Ibatis与MyBatis的区别比较
- ibatis mybatis区别-使用层面
- ibatis和mybatis区别(转)
- Hibernate和MyBatis(ibatis)的区别
- iBatis 到 MyBatis区别
- iBatis 到 MyBatis区别
- Mybatis与ibatis的区别
- iBatis 到 MyBatis区别
- ibatis 到 MyBatis区别
- iBatis 到 MyBatis区别
- iBatis 到 MyBatis区别
- iBatis 到 MyBatis区别
- Hibernate VS MyBatis 区别 Hibernate3和MyBatis(iBatis)的执行效率比较
- iBatis 到 MyBatis区别
- iBatis 到 MyBatis区别
- iBatis中#和$占位符的区别
- Mybatis和Ibatis的区别