1. $
將傳入的數據直接顯示生成在sql中,不會修改或轉義字符串。如:order by $id$,如果傳入的值是111,那么解析成sql時的值為order by 111, 如果傳入的值是id,則解析成的sql為order by id.所以$方式一定程度上無法防止Sql注入。
$方式一般可用於傳入數據庫對象,例如傳入表名。
mybatis排序時使用order by,其后面的動態參數也應使用$,但一般不建議這樣使用,會存在潛在的sql注入風險。
${}等效$$,不會修改或轉義字符串,類似以下執行:
Statement st = conn.createStatement();
ResultSet rs = st.executeQuery(sql);
2. #
將傳入的數據都當成一個字符串,會對自動傳入的數據加一個雙引號。如:order by #id#,如果傳入的值是111,那么解析成sql時的值為order by "111", 如果傳入的值是id,則解析成的sql為order by "id".相對使用$方式能夠很大程度防止sql注入。
#{}等效##,這樣使用的sql能夠預編譯,能在內存中保存sql語法,不用重新組裝sql語法,類似以下執行:
PreparedStatement ps = conn.prepareStatement(sql);
ps.setInt(1,id);
一般情況下,建議能用#的就別用$。