在使用Mybatis配置SQL语句时,SQL语句中的参数可以使用#{}格式的占位符, 还可以使用${}占位符。

      在MySQL处理SQL语句时,会经过词法分析、语义分析,然后再执行编译,最终执行

      在Mybatis中,使用#{}格式占位符,在底层实现时,是预编译的,先将sql语句拼接好,再将值替换到占位符处,不用考虑数据类型的问题,因为所有的数据会看成值。使用预编译处理机制是安全的,因为预编译的占位符处指挥认为是值,例如“a=1 or 1=1”只会被看作是值,orl连接词在sql语句中不起作用,所以不会出现SQL注入问题

      使用${}格式的占位符,在底层实现时,会先将值拼接到原SQL语句中,然后再执行编译的相关流程!由于不是预编译的,字符串、日期等类型的值需要添加一对单引号,否则,将被视为字段名、运算表达式等,由于是先代入值再执行编译相关流程,所以,代入的值是可以改变语义的,是存在SQL注入风险的!这种做法中,${}占位符可以表示SQL语句中的任何片段,只需要保证拼接起来后可以通过编译即可!

      在SQL语句中,除了关键词、数值、运算符、函数名等非常固定的内容以外,所有内容都会被视为某个名字,例如:表名、字段名或其它自定义的名称(例如索引名等),比较典型的应用。在SQL语句中,只有将值使用一对双引号框住(数值除外),才会被认为是“值”

     例子:

<select id="getStandardById" resultMap="StandardResultMap">
    SELECT
        <include refid="StandardQueryFields"/>
    FROM
        pms_album
    WHERE
        id=#{id}
</select>

使用#{}${}格式的占位符均可正常通过测试!

<select id="countByName" resultType="int">
    SELECT count(*) FROM pms_album WHERE name=#{name}
</select>

使用#{}格式的占位符可以正常通过测试,但是,使用${}格式的占位符则会出现下面错误:

Cause: java.sql.SQLSyntaxErrorException: Unknown column '小米13的相册' in 'where clause'
; bad SQL grammar []; nested exception is java.sql.SQLSyntaxErrorException: Unknown column '小米13的相册' in 'where clause'

SQL语句中将测试参数 小米13的相册 作为了列名(字段名)