Mybatis #{} 和 ${}区别,使用场景,LIKE模糊查询避免SQL注入

#{} 和 ${}区别

#{} 和 {},其最大的区别则是#{}方式能够很大程度防止sql注入(安全),{}方式无法防止Sql注入

sql注入:

Sql注入指的是程序解析时会将你传入的参数作为原来SQL语句的一部分,打乱原来SQL的结构,而通常我们只是需要传入一个参数而已.

#{} 预编译占位符

  1. #{}表示一个占位符号 相当于 jdbc中的 ? 符号
    #{}实现的是向prepareStatement中的预处理语句中设置参数值,sql语句中#{}表示一个占位符即?
  2. #{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:
sql 复制代码
select * from user where id= #{user_id}
# 传入 3 
# 解析成sql
select * from user where id= where id="11"
  1. 如果sql语句中只有一个参数,此时参数名称可以随意定义,如果sql语句有多个参数,此时参数名称应该是与当前表关联实体类的属性名或则Map集合关键字,不能随便写,必须对应!

$ {} 字符串拼接

  1. $ {}将传入的数据直接显示生成在sql中。如:
sql 复制代码
select * from user where id= $ {user_id}
# 传入的值是 3 
# 解析成sql
select * from user where id= 3
  1. {value}中value值有限制只能写对应的value值不能随便写,因为{}不会自动进行jdbc类型转换

必须使用 ${} 场景

简单来说,在JDBC不支持使用占位符的地方,都可以使用${},比如动态指定表名,指定动态排序参数

  1. 表名或列名动态替换(表名 / 列名不能作为预编译参数)
sql 复制代码
<select id="getAllFromTable" resultType="map">
  SELECT * FROM ${tableName} WHERE status = 'active'
</select>

为什么不能若使用#{}:
原因:若使用#{} 会生成 SQL SELECT * FROM 'user_table' WHERE ...(引号导致语法错误)

  1. SQL 片段拼接:如排序字段(ORDER BY)
sql 复制代码
<select id="getUsersOrderBy" resultType="User">
  SELECT * FROM users ORDER BY ${sortField} ${sortOrder}
</select>

为什么不能若使用#{}:
原因:若使用#{}:会生成 SQL ORDER BY 'username' ASC(引号导致排序失败)

  1. 原生 SQL 函数参数:如日期格式化函数
sql 复制代码
<select id="getUsersByDate" resultType="User">
  SELECT * FROM users WHERE create_time LIKE '${formattedDate}%'
</select>

LIKE模糊查询

永远不要在 LIKE 语句中直接使用 ${} 拼接通配符

使用 ${} 模糊查询

sql 复制代码
<select id="searchUsers" resultType="User">
  SELECT * FROM users WHERE username LIKE '%${keyword}%'
</select>
# 用户输入 ' OR '1'='1
# SQL 将变为
SELECT * FROM users WHERE username LIKE '%' OR '1'='1%' # 此时条件恒为真

优先方案:Java 端拼接 % + #{}。

java 复制代码
// Java代码
String keyword = "%" + searchTerm + "%";
userMapper.searchUsers(keyword);
xml 复制代码
// XML映射
<select id="searchUsers" resultType="User">
  SELECT * FROM users WHERE username LIKE #{keyword}
</select>

替代方案: 标签 + #{}。

xml 复制代码
<select id="searchUsers" resultType="User">
  <bind name="pattern" value="'%' + keyword + '%'" />
  SELECT * FROM users WHERE username LIKE #{pattern}
</select>

性能差异

#{} 利用预编译缓存,批量插入 或 更新时性能更优。

${} 每次需重新解析 SQL,频繁调用时可能影响性能。

相关推荐
betazhou6 分钟前
MySQL ROUTER安装部署
android·数据库·mysql·adb·mgr·mysql router
埃泽漫笔17 分钟前
MySQL - 索引(B+树)
mysql·b+树
guojl26 分钟前
MyBatis应用案例
后端·mybatis
中东大鹅37 分钟前
Mybatis Plus 多数据源
java·数据库·spring boot·后端·mybatis
苦学编程的谢1 小时前
Mybatis_2
java·开发语言·后端·java-ee·mybatis
一枚小小程序员哈1 小时前
springboot基于Java与MySQL库的健身俱乐部管理系统设计与实现
数据库·spring boot·mysql·spring·java-ee·intellij-idea
Antonio9152 小时前
【Redis】 Redis 基础命令和原理
数据库·redis·缓存
非优秀程序员2 小时前
未来的编程将会是什么样子?从面向对象转为面向业务数据!!
数据库·架构
技术卷2 小时前
详解力扣高频SQL50题之619. 只出现一次的最大数字【简单】
sql·leetcode·oracle
iVictor3 小时前
分享一个 MySQL binlog 分析小工具
mysql