1.數據類型匹配
#:會進行預編譯,而且進行類型匹配
$:不進行數據類型匹配
2.實現方式
#:用於變量替換
$:實質上是字符串拼接
3.#和$的使用場景
(1)變量的傳遞,必須使用#,使用#{}就等於使用了PrepareStatement這種佔位符的形式,提高效率。可以防止sql注入等等問題。#方式一般用於傳入添加,修改的值或查詢,刪除的where條件 id值
select * from t_user where name = #{param}
(2)$只是只是簡單的字符串拼接,要特別小心sql注入問題,對應非變量部分,只能用$。$方式一般用於傳入數據庫對象,比如這種group by 字段 ,order by 字段,表名,字段名等沒法使用佔位符的就需要使用${}
select count(*), from t_user group by ${param}
(3)能同時使用#和$的時候,最好用#。
sql注入問題:
SQL注入就是將原本的SQL語句的邏輯結構改變,使得SQL語句的執行結果和原本開發者的意圖不一樣.
比如:使用Statement語句執行者,執行sql,會造成sql注入的問題,
String sql = "select * from tb_name where name= '"+varname+"' and passwd='"+varpasswd+"'";
如果我們把[' or '1' = '1]作爲varpasswd傳入進來,執行查詢的時候 sql會變成,
String sql = "select * from tb_name where name= '' and passwd = '' or '1' = '1',1=1是永遠成立的,所以,前面的條件已經不起作用,
我們使用預編譯語句執行者就可以避免這個問題,prepareStatement將sql預編譯,傳參數的時候,不會改變sql語句結構,就可以避免注入。
————————————————
版權聲明:本文爲CSDN博主「灰太狼_cxh」的原創文章,遵循CC 4.0 BY-SA版權協議,轉載請附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/weixin_39220472/article/details/79656122