${}和#{}都是占位符,占位符是什么呢,可以理解为MyBatis的一个变量
${} 注入什么就是什么,且如果是简单类型的值需要用 value 来接收
#{} 参数是采用预编译处理,${}是字符串替换
#{}参数是简单类型(基础类型和字符串),变量可以任意
${}参数是简单类型(基础类型和字符串),变量必须是Value
#{}参数是引用类型,变量是引用类型中的属性,不可任意
${}参数是引用类型,变量是引用类型中的属性,不可任意
Mybatis 在处理#{}时,会将 sql 中的#{}替换为?号,调用 PreparedStatement 的set 方法来赋值;
一.#{} (常用,对于sql注入有一定的防控作用)
<select id="getUser" parameterType="java.lang.String" resultType="com.kenneth.model.entity ">
SELECT * FROM user WHERE username = #{name}
</select>
当你的name还是传入step时,sql会变成
SELECT * FROM user WHERE username = 'step'
二.${}
<select id="getUser" parameterType="java.lang.String" resultType="com.kenneth.model.entity ">
SELECT * FROM user WHERE username = ${name}
</select>
当你的name传入step时,sql会变成
SELECT * FROM user WHERE username = step
三.SQL注入
SQL注入只有where 条件产生效果假如我们有登录接口,我们xml中的SQL语句是这样的
select * from user where username ='***' and password ='***'
我们数据库里面有这些东西
但是当我们向数据库里面账号密码传入 1’ or 1='1之后我们查到的是这样的
传入1’ or ‘1’='1 同理
它查询出来了所有信息,这对我们来说是不安全的,因为我们传入1’ or 1='1 之后,我们的SQL语句变成了恒成立的式子,所以我们这个是不安全的,所以我们一般都是用#{}来在xml里面取值。但我们自己知道需要修改SQL本身的时候我们可能会用**${}**来进行