В MyBatis есть несколько способов сращивания строк:

Используйте знак + для сращивания.

Например:

SELECT * FROM users WHERE id = 1 + 2;

В операторах SQL знак + используется для объединения строк, что эквивалентно объединению двух строк. В приведенном выше операторе SQL 1 и 2 сначала выполняют числовые операции, а затем объединяются в строку. Последний оператор SQL эквивалентен:

SELECT * FROM users WHERE id = 3;

Используйте функцию CONCAT для объединения.

Например:

SELECT * FROM users WHERE name = CONCAT('a', 'b');

В операторах SQL функция CONCAT используется для объединения нескольких строк, что эквивалентно функции знака +. В приведенном выше операторе SQL функция CONCAT получает два параметра: «a» и «b», которые в конечном итоге будут объединены в «ab». Окончательный оператор SQL эквивалентен:

SELECT * FROM users WHERE name = 'ab';

Используйте оператор || для объединения

Например:

SELECT * FROM users WHERE name = 'a' || 'b';

В операторах SQL оператор || используется для объединения двух строк, и его функция аналогична знаку + и функции CONCAT. В приведенном выше операторе SQL две строки «a» и «b» будут объединены вместе, и окончательный оператор SQL будет эквивалентен:

SELECT * FROM users WHERE name = 'ab';

Используйте знак $

существовать MyBatis В случае сращивания также возможно использовать знак $。Например:

SELECT * FROM users WHERE name = $name;

существовать SQL В заявлении символ используется для указания нити соединения, которая будет существовать SQL Операторы объединяются перед выполнением. и # символ другой, Символ не выполняет никакой проверки и экранирования входного значения,поэтому это может привести к SQL Инъекционная атака.существоватьвыше SQL В заявленииnameбудет соединен сSQLВ заявленииеслиname будет соединен с SQL В заявленииесли nameбудет соединен сSQLВ заявленииеслиname Значение «аб», финал SQL Заявление следующее:

SELECT * FROM users WHERE name = 'ab';

существоватьиспользовать MyBatis При объединении строк рекомендуется использовать + Нет, КОНКАТ функция или || оператор, избегайте использования знак $, чтобы избежать возникновения SQL Инъекционная атака.

Символы # и $

# символ

# Используется для указания заполнителя, который будет существовать. SQL Замены производятся до выполнения оператора. существовать под SQL В заявлении#{id} будет заменен фактическим id ценить:

SELECT * FROM users WHERE id = #{id};

если #{id} Значение 1, затем финал SQL Заявление следующее:

SELECT * FROM users WHERE id = 1;

знак $

символ используется для указания нити соединения, которая будет существовать SQL Операторы объединяются перед выполнением. и # символ другой, Символ не выполняет никакой проверки и экранирования входного значения, поэтому это может привести к SQL Инъекционная Например, существование. SQL В заявлении$id будет соединен с SQL В заявлении:

SELECT * FROM users WHERE id = ${id};

такой жеесли $id Значение 1, затем финал SQL Заявление

SELECT * FROM users WHERE id = 1;

На первый взгляд, это одно и то же, так почему же рекомендуется их использовать? # символ Шерстяная ткань？

Разница – риск SQL-инъекции

String sql = "SELECT * FROM users WHERE name = #{name}";

Map<String, Object> params = new HashMap<>();
params.put("name", "a' or '1' = '1");

// осуществлять SQL заявление
SqlSession sqlSession = sqlSessionFactory.openSession();
List<User> users = sqlSession.selectList(sql, params);

существоватьосуществлятьвышевремя кода,MyBatis воля #{name} Заменяется значением в карте параметров, окончательное SQL Заявление следующее:

SELECT * FROM users WHERE name = 'a\' or \'1\' = \'1';

потому что # экранирование значения параметра символволя, что эффективно предотвращает SQL Инъекционная атака.

и Символ используется только для указания соединения, которое будет существовать. SQL Операторы объединяются перед выполнением. и # символ другой, Символ не выполняет никакой проверки и экранирования входного значения, поэтому это может привести к SQL Инъекционная атака.

// Используйте знак $ сращивание
String sql = "SELECT * FROM users WHERE name = ${name}";

Map<String, Object> params = new HashMap<>();
params.put("name", "a' or '1' = '1");

// осуществлять SQL заявление
SqlSession sqlSession = sqlSessionFactory.openSession();
List<User> users = sqlSession.selectList(sql, params);

Например,существоватьтакой жеиз SQL В заявленииnameбудет соединен сSQLВ заявленииесли{name} будет соединен с SQL В заявленииесли nameбудет соединен сSQLВ заявленииесли{name} Значение "a' or '1' = '1', затем финал SQL Заявление следующее:

SELECT * FROM users WHERE name = a' or '1' = '1;

Мы видим, что после сращивания нет кавычек и нет спаривания; {name} ценить "a' or '1' = '1" Побег. Это может произойти из-за вредоносной SQL-инъекции. Поэтому рекомендуется использовать # символ для указания заполнителя, и не является символы для объединения строк.