一、结论
{ }:预编译占位符 ?,防止sql注入,会在参数两端加上单引号 ' '
${ }:sql拼接符号,如表名必须用这个
{ } 变量的替换是在 DBMS 中, ${ } 变量的替换阶段是在动态 SQL解析阶段
只要能够使用#{ }解决的地方,我们都应该使用#{ }
二、细节
1、 #{ }
- 被解析为一个 JDBC 预编译语句(prepared statement)的参数占位符 ? 会在参数两端加上单引号 ' ' ;
- 防止注入式攻击,所以只要能够使用#{ }解决的地方,我们都应该使用#{ }
select * from user where name = #{name};
select * from user where name = ?;
select * from user where name = ${name};
select * from user where name = 'Joyce';
2.${ }
- 是单纯的字符串拼接,拼接完成后才会对SQL进行编译、执行,所以性能较低 ,且不能复用
- 由于表名不能加单引号,所以不能使用#{ }。这时候就需要使用${ }来进行字符串拼接。
${ } 在预编译之前已经被变量替换了,这会存在 sql 注入问题。例如:
select * from ${tableName} where name = #{name}
假如,我们的参数 tableName 为" user; delete user; -- ",那么 SQL 动态解析阶段之后,预编译之前的 sql 将变为:
select * from user; delete user; -- where name = ?;
--之后的语句被注释掉,而原本查询用户的语句变成了查询所有用户信息+删除用户表的语句,会对数据库造成重大损伤。
重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查