#{}与${}的区别

本文摘自：https://blog.csdn.net/qian_qian_123/article/details/92844194

※：PreparedStatement不允许在插入参数时改变SQL语句的逻辑结构。

※：为什么它这样处理就能预防SQL注入提高安全性呢？其实是因为SQL语句在程序运行前已经进行了预编译，在程序运行时第一次操作数据库之前，SQL语句已经被数据库分析，编译和优化，对应的执行计划也会缓存下来并允许数据库已参数化的形式进行查询，当运行时动态地把参数传给PreprareStatement时，即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令，如此，就起到了防止SQL注入的作用了！

①

经常碰到这样的面试题目：#{}和${}的区别是什么？

网上的答案是：#{}是预编译处理，$ {}是字符串替换。mybatis在处理#{}时，会将sql中的#{}替换为?号，调用PreparedStatement的set方法来赋值；mybatis在处理 $ { } 时，就是把 ${ } 替换成变量的值。使用 #{} 可以有效的防止SQL注入，提高系统安全性。

对于这个题目我感觉要抓住两点：

（1）$ 符号一般用来当作占位符，常使用Linux脚本的人应该对此有更深的体会吧。既然是占位符，当然就是被用来替换的。知道了这点就能很容易区分$和#，从而不容易记错了。

（2）预编译的机制。预编译是提前对SQL语句进行预编译，而其后注入的参数将不会再进行SQL编译。我们知道，SQL注入是发生在编译的过程中，因为恶意注入了某些特殊字符，最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。

最后想说的是，对于mybatis 以及 sql 而言，每一个考点背后都是有一个深刻的思想存在的，应该好好的体会。这样才能真正的做到技术提升，成为技术大牛。

②

${param}传递的参数会被当成sql语句中的一部分，比如传递表名，字段名

例子：(传入值为id)

orderby${param}

则解析成的sql为：

orderbyid

#{parm}传入的数据都当成一个字符串，会对自动传入的数据加一个双引号

例子：(传入值为id)

select*fromtablewherename =#{param}

则解析成的sql为：

select*fromtablewherename ="id"

为了安全，能用#的地方就用#方式传参，这样可以有效的防止sql注入攻击

sql注入简介

直接上了百度的例子，感觉一看就清晰明了

某个网站的登录验证的SQL查询代码为：

strSQL ="SELECT * FROM users WHERE (name = '"+ userName +"') and (pw = '"+ passWord +"');"

恶意填入

userName ="1' OR '1'='1";

与passWord ="1' OR '1'='1";

时，将导致原本的SQL字符串被填为

strSQL ="SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"

也就是实际上运行的SQL命令会变成下面这样的

strSQL ="SELECT * FROM users;"

这样在后台帐号验证的时候巧妙地绕过了检验，达到无账号密码，亦可登录网站。所以SQL注入攻击被俗称为黑客的填空游戏。

③

动态 sql 是 mybatis 的主要特性之一，在 mapper 中定义的参数传到 xml 中之后，在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法：#{} 以及 ${}。

　　在下面的语句中，如果 username 的值为 zhangsan，则两种方式无任何区别：

select * from user where name = #{name};

select * from user where name = ${name};

其解析之后的结果均为

select * from user where name = 'zhangsan';

但是 #{} 和 ${} 在预编译中的处理是不一样的。#{} 在预处理时，会把参数部分用一个占位符 ? 代替，变成如下的 sql 语句：

select * from user where name = ?;

而 ${} 则只是简单的字符串替换，在动态解析阶段，该 sql 语句会被解析成

select * from user where name = 'zhangsan';

以上，#{} 的参数替换是发生在 DBMS 中，而 ${} 则发生在动态解析过程中。

　　那么，在使用过程中我们应该使用哪种方式呢？

　　答案是，优先使用 #{}。因为 ${} 会导致 sql 注入的问题。看下面的例子：

select * from ${tableName} where name = #{name}

在这个例子中，如果表名为

　　 user; delete user; --

　　则动态解析之后 sql 如下：

select * from user; delete user; -- where name = ?;

--之后的语句被注释掉，而原本查询用户的语句变成了查询所有用户信息+删除用户表的语句，会对数据库造成重大损伤，极大可能导致服务器宕机。

　　但是表名用参数传递进来的时候，只能使用 ${} ，具体原因可以自己做个猜测，去验证。这也提醒我们在这种用法中要小心sql注入的问题。