本文已参与「新人创作礼」活动,一起开启掘金创作之路。
平时开发中我们经常会遇到#,相关的问题,甚至会是安全问题,这是有严格的要求的,下面我们一起来学习一下。 两者区别: #{}是预编译处理,{}是字符串替换
(1)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值,sql在解析的时候会加上" ",当成字符串来解析。 例如:#{123456, jdbcType=INTEGER} 预编译成:select * from tableName where id = ? ; 再变成:select * from tableName where id = '123456' ;
(2)mybatis在处理{}替换成变量的值。 例如:${123456, jdbcType=INTEGER} 直接变成:select * from tableName where id = 123456 ;
深度理解:
(1)使用#{}可以防止SQL注入,提高系统安全性。原因:#{}有预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输入非法参数,也不会对SQL的结构产生影响,从而避免了潜在的安全风险。预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。SQL注入都是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。 (2){abcd or 1=1}就可以实现sql注入的目的;
用法概要:
(1)优先使用#{}; (2){}而不用#{};
order by 中必须要替换${}的方法:
PageHelper的order by方法,能替代mybatis中order by必须使用${}来避免sql注入 思路:com.github.pageHelper包里的orderBy方法来避免使用,防止sql注入。 使用方法:在mapper的sql语言执行前,先执行PageHelper.orderBy(String string),比如:String string="id"+"asc"; PageHelper.orderBy(string),然后再去调取mapper的方法; 如果还有分页,可以调用PageHelper.startPage(int pageNum,int PageSize, String orderBy)方法来结合分页排序进行操作。
