1.#{} 将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。
如:order by #{user_id},如果传入的值是111,那么解析成sql时的值为order by "111",
如果传入的值是id,则解析成的sql为order by "id".
2.$将传入的数据直接显示生成在sql中。如:order by ${user_id},如果传入的值是111,那么解析成sql时的值为order by 111,
如果传入的值是id,则解析成的sql为order by id.
3.#{}方式能够很大程度防止sql注入。
4.$方式无法防止Sql注入。
5.$方式一般用于传入数据库对象,例如传入表名.
6.一般能用#的就别用$.
7.#{}实现的是向prepareStatement中的预处理语句中设置参数值,sql语句中#{}表示一个占位符即?。
8.通过${}可以将parameterType传入的内容拼接在sql中且不进行jdbc类型转换
MyBatis排序时使用order by 动态参数时需要注意,用$而不是#
补充模糊查询
1.表达式: name like"%"#{name}"%" #起到占位符的作用
2.表达式: name like '%${name}%' $进行字符串的拼接,直接把传入的值,拼接上去了,没有任何问题
3. 表达式: name likeconcat(concat('%',#{username}),'%') 这是使用了cancat进行字符串的连接,同时使用了#进行占位
4. 表达式:name like CONCAT('%','${name}','%') 对上面的表达式进行了简化,更方便了
sql注入攻击实例参考https://blog.csdn.net/weixin_42045038/article/details/82766461
就是通过${}运算符的特性在后面在此拼接查询语句或者删除语句等
所以输入:1’ union select user,password from users#进行查询:实际执行的SQL语句是:
select first_name,last_name from users where user_id = '1' union select user,password from users#';