Mybatis中#和$的区别是什么

这篇文章主要介绍"Mybatis中#和$的区别是什么"，在日常操作中，相信很多人在Mybatis中#和$的区别是什么问题上存在疑惑，小编查阅了各式资料，整理出简单好用的操作方法，希望对大家解答"Mybatis中#和$的区别是什么"的疑惑有所帮助！接下来，请跟着小编一起来学习吧！

一：下面我们写个关于"#"的个sql，看能不能注入。

     SELECT             acc.user_name FROM dfws_sys_user_account AS acc    WHERE        acc.user_name like #{userName}  

1.正常传参

DfwsSysUserAccount user = new DfwsSysUserAccount();user.setUserName("wanglingzhi");List list = userAccountService.selectUser(user);if(list!=null && list.size()>0){    for (DfwsSysUserAccount u:list) {            System.out.println("用户名："+u.getUserName());    }}else{        System.out.println("暂无数据");}

sql打印：

Preparing: SELECT acc.user_name FROM dfws_sys_user_account AS acc WHERE acc.user_name = ?

Parameters: wanglingzhi(String)

2.拼接传参

DfwsSysUserAccount user = new DfwsSysUserAccount();user.setUserName("'wanglingzhi' or acc.user_name = 'shuizhong'");List list = userAccountService.selectUser(user);if(list!=null && list.size()>0){    for (DfwsSysUserAccount u:list) {            System.out.println("用户名："+u.getUserName());    }}else{        System.out.println("暂无数据");}

sql打印：

Preparing: SELECT acc.user_name FROM dfws_sys_user_account AS acc WHERE acc.user_name = ?

Parameters: wanglingzhi or acc.user_name = shuizhong(String)

二：下面我们写个关于"$"的个sql，看能不能注入。

    SELECT             acc.user_name FROM dfws_sys_user_account AS acc    WHERE        acc.user_name like ${userName}  

1.正常传参

DfwsSysUserAccount user = new DfwsSysUserAccount();user.setUserName("'wanglingzhi'");List list = userAccountService.selectUser(user);if(list!=null && list.size()>0){    for (DfwsSysUserAccount u:list) {            System.out.println("用户名："+u.getUserName());    }}else{        System.out.println("暂无数据");}

打印sql：

SELECT acc.user_name FROM dfws_sys_user_account AS acc WHERE acc.user_name = 'wanglingzhi'

2.拼接传参

DfwsSysUserAccount user = new DfwsSysUserAccount();user.setUserName("'wanglingzhi' or acc.user_name = 'shuizhong'");List list = userAccountService.selectUser(user);if(list!=null && list.size()>0){    for (DfwsSysUserAccount u:list) {            System.out.println("用户名："+u.getUserName());    }}else{        System.out.println("暂无数据");}

打印sql:

SELECT acc.user_name FROM dfws_sys_user_account AS acc WHERE acc.user_name = 'wanglingzhi' or acc.user_name = 'shuizhong'

很显然，这里已经sql注入了。

总结下，一般说来，二者的区别可总结为以下6点：

（1）#将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。如：order by #user_id#，如果传入的值是111，那么解析成sql时的值为order by "111"，如果传入的值是id，则解析成的sql为order by "id"。

（2）$将传入的数据直接显示生成在sql中。如：order by $user_id$，如果传入的值是111，那么解析成sql时的值为order by user_id， 如果传入的值是id，则解析成的sql为order by id。

（3）#方式在很大程度上能够防止sql注入。

（4）$方式无法防止sql注入。

（5）$方式一般用于传入数据库对象，例如传入表名。

（6）一般能用#的就别用$。

ps:在使用mybatis中还遇到的用法，在该符号内的语句，将不会被当成字符串来处理，而是直接当成sql语句，比如要执行一个存储过程。

到此，关于"Mybatis中#和$的区别是什么"的学习就结束了，希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习，快去试试吧！若想继续学习更多相关知识，请继续关注网站，小编会继续努力为大家带来更多实用的文章！