Mybatis之占位符与拼接符

1.占位符

1.1  含义：

在持久化框架中，为了将约束条件中的可变参数从sql中分离出来，在原有的参数位置使用特殊的标记来标记该位置，后期通过代码给sql传递参数（即实现sql与代码分离开）。这个特殊的标记被称为占位符。

1.2 优点：

1.2.1 防止sql注入，提高了安全性

1.2.2 对于只有参数不同的sql语句，只需要编译一次{以后会从缓存中获取}

1.3 形式：

占位符在持久化框架中的一般形式为：？。Mybatis为了更加方便的与参数列表进行映射，采用的形式为：#{参数名}

1.4 示例：

SELECT * FROM t_address t where t.id = #{id}
--等价于
SELECT * FROM t_address t where t.id = ？

1.5 注意：

占位符只能在约束条件中使用

--持久化框架中，不允许以下形式：
SELECT * FROM ?  
SELECT * FROM t_address order by ?  

--mybatis中，不允许以下形式
SELECT * FROM #{tableName}
SELECT * FROM t_address order by  #{orderBy}

2. 拼接符

2.1 背景：

由于占位符只能在sql语句的约束条件中使用，有时候sql语句需要其它的一些变量参数(非约束条件中)来控制，如：表名、排列顺序等。所以Mybatis使用了拼接符的概念

2.2 形式：${参数名}

2.3 示例：

SELECT * FROM ${tableName}

2.4 注意：

如果参数通过用户获取，则不能使用拼接符的形式【会发生sql注入，不安全】

3. 补充：

在进行预编译的时候，会用参数值直接替换${参数名}，用？替换#{参数名}

4. sql注入

4.1 概念：

将sql语法里的一些组合，通过表单提交或页面请求注入到sql语句中，欺骗服务器执行恶意sql语句

4.2 示例：

String id = “1 or 1 = 1”;
String sql = “select * from t_address where id = ”+id;

4.2 防止sql注入的方法：

对于表单提交的数据，使用占位符的形式构建sql语句（占位符不识别参数的sql语法【作为普通字符串】）

String id = “1 or 1 = 1”
String sql = “select * from t_address where id = ？”

//解析后：

select * from t_address where id = ‘1 or 1 = 1’;