1,首先Mybatis中的#{}与${}到底有什么区别?
#{}:表示一个占位符号,通过#{}可以实现preparedStatement向占位符中设置值,自动进行java类型和jdbc类型转换,#{}可以有效防止sql注入。 #{}可以接收简单类型值或pojo属性值。
如果parameterType传输单个简单类型值,#{}括号中可以是value或其它名称。“%”#{name}”%”
${}:表示拼接sql串,通过${}可以将parameterType 传入的内容拼接在sql中且不进行jdbc类型转换, ${}可以接收简单类型值或pojo属性值,
如果parameterType传输单个简单类型值,${}括号中只能是value。
#{}是预编译处理,$ {}是字符串替换。
预编译的机制。预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。
我们知道,SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。
其实,区别就是如果使用#{},会将{}里面的传入的值自动解析成为带引号的值,比如:
select count(1) from tb_user where username = #{username} and password = #{password}
假如,此时传入username传入的值为admin,password传入的值为123456,那么最后的sql就是:
select count(1) from tb_user where username = 'admin' and password = '123456';
会解析成字符串,而${}就会这样解析:
select count(1) from t_user where username = admin and password = 123456;
显然,这是一个错误的sql语句,那么,什么叫SQL注入呢?为什么#{}可以有效的防止sql注入呢?
2,什么是SQL注入?
SQL注入就是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库执行一些恶意的操作
比如说,在登录过程中,利用上面的语句到数据库中查找用户名/密码是否存在,如果存在就登录成功
而如果不存在就登录失败,如果说你后台使用的是${},恶意用户在表单中的用户名文本框中输入的是'admin'
密码框中输入的是' ' or 1 = 1 加了一引号和一个恒成立的条件,那么,传到数据库中的sql就是:
select count(1) from t_user where user_name = 'admin' and user_password = ' ' or 1=1
如果程序没有做其他的校验,此时,该恶意用户是可以登录系统的! 这就是SQL注入,恶意攻击
而如果使用#{}是不会出现这种情况的,#{}默认会给输入的值加上引号,但是使用#{}在其他场景下并不适用
比如要使用到排序 order by #{} 传入的参数应是表对应字段名,但是加上引号后就会解析成
order by 'age' 这样就达不到排序的目的,而此时如果使用${}就可以达到排序的目的
即,sql解析成 order by age,根据age排序