1. $
将传入的数据直接显示生成在sql中,不会修改或转义字符串。如:order by $id$,如果传入的值是111,那么解析成sql时的值为order by 111, 如果传入的值是id,则解析成的sql为order by id.所以$方式一定程度上无法防止Sql注入。
$方式一般可用于传入数据库对象,例如传入表名。
mybatis排序时使用order by,其后面的动态参数也应使用$,但一般不建议这样使用,会存在潜在的sql注入风险。
${}等效$$,不会修改或转义字符串,类似以下执行:
Statement st = conn.createStatement();
ResultSet rs = st.executeQuery(sql);
2. #
将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".相对使用$方式能够很大程度防止sql注入。
#{}等效##,这样使用的sql能够预编译,能在内存中保存sql语法,不用重新组装sql语法,类似以下执行:
PreparedStatement ps = conn.prepareStatement(sql);
ps.setInt(1,id);
一般情况下,建议能用#的就别用$。