前言
在原生的操作数据库的代码中,常常会用到PreparedStatement和Statement两个对象,其中PreparedStatement继承自Statement,这两个对象之间的区别之一就是PreparedStatement会对sql进行预编译处理,而Statement不会。有如下代码示例:
// 使用PreparedStatement对象 //定义sql语句,变量的位置用?号代替 String sql = "select user_id, user_name, user_age from user_info where user_id = ?"; //通过Connection得到预编译后的对象,相对于Statement这一步消耗很大,不过优势体现在后面,因为sql已经预编译过了 PreparedStatement ps = conn.preparedStatement(sql); //给PreparedStatement对象设值,sql中有几个?号就要设几个值,下标从1开始 ps.setInt(1, user.getUserId()); //ResultSet接收查询得到的结果集 ResultSet rs = ps.executeQuery(); //使用Statement对象 //定义sql语句,采用字符串拼接的方式 String sql = "select user_id, user_name, user_age from user_info where user_id = " + user.getUserId(); //通过Connection获取Statement对象 Statement stmt = conn.createStatement(); //ResultSet接收结果集 ResultSet rs = stmt.executeQuery();
在以上的代码中可以看到,PreparedStatement执行sql时会先将sql预编译,这时如果恶意插入一段sql语句(即SQL注入)也不会成功执行,但是在Statement中,sql是通过字符串拼接获取,所以如果插入的sql符合一定条件是会执行的,从而达到恶意攻击的目的。
区别
1、#{}是预编译处理,Mybatis在处理sql语句时,会将sql中的#{}符号替换成?,然后使用PreparedStatement的set方法来赋值,并且传入值后,会在值的两边加上单引号
2、${}是字符串替换,mybatis在处理sql语句时,会将sql中的${}符号直接替换成变量的值,同时,替换的值的两边不会加上单引号,所以可能会导致sql注入