【mybatis】详解 # 和 $ 的区别，两者分别适用于哪种场景，使用 $ 不当会造成什么影响

# 和 $ 的区别

在MyBatis中，# 和 $ 是用来处理参数的两种不同方式，它们之间有一些重要的区别：

# 符号：

# 是用来进行参数占位符的，它会进行 SQL 注入防护。使用 # 时，MyBatis 会将参数值进行预处理，以防止 SQL 注入的问题。

当你在 SQL 语句中使用 #{parameterName} 时，MyBatis 会将 parameterName 所代表的参数值转义，安全地插入 SQL 语句中。

例如：

SELECT * FROM users WHERE username = #{username}

如果 username 是一个用户输入的值，MyBatis 会处理这个值并确保不会引起 SQL 注入。

$ 符号：

$ 用于直接插入参数值，不进行任何处理。这意味着使用 $ 的时候，如果参数包含恶意 SQL 代码，可能会导致 SQL 注入问题。

当你在 SQL 语句中使用 ${parameterName} 时，MyBatis 会直接将 parameterName 的值替换到 SQL 语句中。

例如：

SELECT * FROM ${tableName}

如果 tableName 是用户输入的值，直接插入可能会导致安全风险。

总结：

• **使用 #**：安全，参数经过转义，防止 SQL 注入。适用于 SQL 中的条件值或数据列。
• **使用 $**：不安全，参数不经过处理，直接替换。一般用于列名、表名等需要动态命名的场景，但需谨慎使用。

在实际使用中，建议优先使用 #，只有在确实需要动态 SQL 结构时才考虑使用 $，并确保传入的内容是安全可信的。

#{} 和${} 区别

1. #{}：预编译处理, ${}：字符直接替换

2. #{} 可以防⽌SQL注⼊, ${}存在SQL注⼊的⻛险, 查询语句中, 可以使⽤ #{} ,推荐使⽤ #{}

3. 但是⼀些场景, #{} 不能完成, ⽐如 排序功能, 表名, 字段名作为参数时, 这些情况需要使⽤${}

4. 模糊查询虽然${}可以完成, 但因为存在SQL注⼊的问题,所以通常使⽤mysql内置函数concat来完成

sql注入

下面是一个示例，展示了如何通过使用 $ 符号导致 SQL 注入的情况

假设我们有一个 MyBatis 的 Mapper XML 文件，其中定义了一个可插入表名的 SQL 查询：

<mapper namespace="com.example.UserMapper">
    <select id="getUsersByTable" resultType="com.example.User">
        SELECT * FROM ${tableName} WHERE username = #{username}
    </select>
</mapper>

在这个查询中，${tableName} 采用了 $ 符号，表示我们希望动态插入一个表名，而 #{username} 采用了 # 符号，确保了对用户输入的 username 进行了安全的处理。

SQL 注入示例：

假设调用这个方法的 Java 代码如下：

String userInputTableName = "users; DROP TABLE users; --"; // 用户输入的表名
String username = "exampleUser";

List<User> users = userMapper.getUsersByTable(userInputTableName, username);

在上面的代码中，userInputTableName 是来源于不受信任的用户输入。如果用户输入了恶意的 SQL 片段 users; DROP TABLE users; --，那么最终生成的 SQL 会是：

SELECT * FROM users; DROP TABLE users; -- WHERE username = 'exampleUser'

这个查询会导致数据库首先执行 SELECT * FROM users;，然后在同一个执行上下文中执行 DROP TABLE users;，从而将 users 表删除。

解决方案：

为了防止这种 SQL 注入，应该避免在 SQL 语句中使用 ${} 直接插入来自用户的输入。应该采用以下做法：

1. 使用预定义表名：使用固定值或通过查证安全的值来避免用户直接输入可能的表名。
2. 使用 # 符号：对于需要而不应该通过用户直接控制的内容，避免动态 SQL。

例如，我们可以用一个枚举（或其他安全措施）来限制表名：

// 使用合法的表名，防止SQL注入
List<User> users = userMapper.getUsersByTable("users", username);

总之，任何时候都应谨慎对待 SQL 的构建，特别是涉及到用户输入时，确保不使用 $ 来动态插入外部输入内容，以防止 SQL 注入漏洞。

# 与 $ 分别适用的场景

在 MyBatis 中，# 和 $ 各自适用于不同的场景。下面结合代码示例来描述它们的适用场景

使用 # 的场景

# 符号用于安全地绑定参数，适合用于绑定查询条件、列值等情境，确保参数得到转义以避免 SQL 注入。

示例：

<mapper namespace="com.example.UserMapper">
    <select id="getUserByUsername" resultType="com.example.User">
        SELECT * FROM users WHERE username = #{username}
    </select>
</mapper>

使用方式：

String username = "exampleUser";
User user = userMapper.getUserByUsername(username);

在这个示例中，#{username} 会被 MyBatis 安全处理，防止 SQL 注入。这里 # 的使用是非常合适的，因为 username 由用户输入，可能会包含潜在的恶意内容。

使用 $ 的场景

$ 符号用于动态构建 SQL 中的结构，比如表名或列名等，适合参数值是已知的、受控的，不需要转义的场景。使用市在容易导致 SQL 注入时，要十分谨慎，仅在确实安全的情况下才使用。

示例：

<mapper namespace="com.example.UserMapper">
    <select id="getUsersByTableName" resultType="com.example.User">
        SELECT * FROM ${tableName} WHERE username = #{username}
    </select>
</mapper>

使用方式：

String tableName = "users"; // 确保这是一个受控值
String username = "exampleUser";
List<User> users = userMapper.getUsersByTableName(tableName, username);

在这个示例中，${tableName} 用于动态选择表名。在实际使用中，tableName 应该是一个固定的值，确保不会来自于不受信任的用户输入，以避免 SQL 注入。

总结

• 使用 # 的场景：

  • 查询条件、列值等动态内容
  • 任何来自用户输入的值
  • 需要安全处理以防止 SQL 注入的场景

• 使用 $ 的场景：

  • 动态构建 SQL 的结构部分，如表名和列名
  • 受控且安全的值，不应直接来自用户输入

在编写 MyBatis SQL 时，务必小心选择使用 # 或 $ 以保护应用程序的安全性。建议优先使用 #，只有在必要且安全的情况下才使用 $。