在MyBatis中，使用$和#传递参数有什么区别？

参考回答

在MyBatis中，#和$都用于传递参数，但它们的使用方式和作用有很大的不同：

1. #（占位符）：用于防止SQL注入，将参数作为值传递。它会自动进行参数的转义处理，确保参数作为数据传递给SQL，而不是被直接嵌入到SQL中执行。

2. $（直接替换）：直接将参数的值替换到SQL语句中，不进行任何转义或处理，容易引发SQL注入风险，因此要小心使用。

详细讲解与拓展

1. #（占位符）

#是MyBatis中最常用的参数占位符。它会把参数值绑定到SQL中，并且自动进行转义。这样可以有效防止SQL注入攻击，确保安全。

使用场景：
– 防止SQL注入：MyBatis会自动处理传入参数的特殊字符（如单引号'、双引号"等），以避免这些字符干扰SQL的执行。
– 参数化查询：通过#，MyBatis会将参数作为数据传递给SQL，而不会直接拼接到SQL中。

示例：

假设有以下查询：

<select id="findUserByUsername" resultType="User">
  SELECT * FROM user WHERE username = #{username}
</select>

对应的Java代码：

User findUserByUsername(String username);

当调用findUserByUsername("O'Reilly")时，MyBatis会将O'Reilly作为一个参数传递给SQL，并自动转义单引号，最终生成的SQL语句如下：

SELECT * FROM user WHERE username = 'O''Reilly'

MyBatis将O'Reilly中的单引号转义为O''Reilly，避免了SQL注入问题。

2. $（直接替换）

$不会进行任何转义或参数绑定。它会直接将参数的值嵌入到SQL语句中，这意味着传入的参数会原样拼接到SQL中。这种方式需要格外小心，避免SQL注入漏洞。

使用场景：
– 动态表名或列名：$常用于动态生成SQL的表名、列名等情况（因为这些部分通常不能用#进行绑定）。
– 不推荐用于动态参数：对于普通的SQL参数（如查询条件、字段值等），应该使用#而不是$，以防止SQL注入。

示例：

假设有以下查询：

<select id="findUserByColumn" resultType="User">
  SELECT * FROM user WHERE ${column} = #{value}
</select>

对应的Java代码：

User findUserByColumn(@Param("column") String column, @Param("value") String value);

假设调用findUserByColumn("username", "john")时，生成的SQL可能是：

SELECT * FROM user WHERE username = 'john'

但是，如果传入的column参数是"DROP TABLE users;"，SQL会变成：

SELECT * FROM user WHERE DROP TABLE users; = 'john'

这会导致SQL注入问题，因为$没有对column值进行任何处理，直接将其插入到SQL中。

3. #和$的区别总结

总结

• #：是MyBatis的推荐使用方式，用于参数化查询，防止SQL注入攻击。它会将参数值安全地绑定到SQL中，并自动进行转义。

• $：直接将参数值拼接到SQL中，虽然可以用于动态生成SQL结构（如表名、列名），但在处理普通的参数时，非常不安全，容易导致SQL注入攻击。因此，除非有特殊需求（如动态表名或列名），否则不推荐使用$。