解答
a、#{}是预编译处理,${}是字符串替换。
b、Mybatis 在处理#{}时,会将 sql 中的#{}替换为?号,调用 PreparedStatement 的 set 方法来赋值;
c、Mybatis 在处理${}时,就是把${}替换成变量的值。
d、使用#{}可以有效的防止 SQL 注入,提高系统安全性
源码位置 参考 https://www.cnblogs.com/warrior4236/p/13145132.html
二、拓展
1、什么是sql注入?为什么#能防止sql注入
sql注入:delete from table where id=${},这这时可以填入一个值 1,但是也可以填入 1 OR 1=1
即:delete from table where id= 1 OR 1=1,这时就会删除所有数据,这就是漏洞!
为什么#能防止sql注入呢?因为#用到了预编译(prepareStatement)。
2、什么是预编译
一条sql语句执行,需要进过语义解析,指定执行计划,执行并返回结果 而预编译的sql在执行sql的时候则直接进行执行计划,不会在进行语义解析,也就是DB不会在进行编译,而是直接执行编译过的sql。
所以 delete from table where id=#{},经过mybatis的时候,会被写成 delete from table where id= ?,然后使用prepareStatement进行预编译,而其后注入的参数将不会再进行SQL编译。也就是说其后注入进来的参数 系统将不会认为它会是一条SQL语句,而默认其是一条一个参数,
即delete * from table where id=1,如果值是 1 or 1=1,(id在数据库中是int类型)那会报错,因为此时mysql会把1 or 1=1当成一个值,这明显是错误的。
如果是delete from user where username = #{name},此时name 是 “king or 1 =1”,那sql也只会是delete from user where username = “king or 1 =1”,没有任何影响。
�