Mybatis 中$和#千万不要乱用！

这是一次代码优化过程中发现的问题，在功能优化后发现部分数据查不到出来了，问题就在于一条sql上的#和$。

下图为两条sql：

从图上可以看出 wwlr.LabelId in(${showLabels}) 和 wwlr.LabelId in(#{showLabels})，其中showLabels是传进来一个字符串类型的参数，参数的样子是这样的“4,44,514”，问题就出在这个参数传进来后#和$处理的方式是不一样的。

1. #{ }是预编译处理，MyBatis在处理#{ }时，它会将sql中的#{ }替换为？，然后调用PreparedStatement的set方法来赋值，传入字符串后，会在值两边加上单引号，如上面的值 “4,44,514”就会变成“ '4,44,514' ”；
2. ${ }是字符串替换， MyBatis在处理${ }时,它会将sql中的${ }替换为变量的值，传入的数据不会加两边加上单引号。

注意：使用${ }会导致sql注入，不利于系统的安全性！

SQL注入：就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。常见的有匿名登录（在登录框输入恶意的字符串）、借助异常获取数据库信息等

应用场合：

1. #{ }：主要用户获取DAO中的参数数据,在映射文件的SQL语句中出现#{}表达式,底层会创建预编译的SQL；
2. `${ }:主要用于获取配置文件数据,DAO接口中的参数信息,当$出现在映射文件的SQL语句中时创建的不是预编译的SQL,而是字符串的拼接,有可能会导致SQL注入问题.所以一般使用$接收dao参数时,这些参数一般是字段名,表名等,例如order by {column}。

注： `${}获取DAO参数数据时,参数必须使用@param注解进行修饰或者使用下标或者参数#{param1}形式；

#{}获取DAO参数数据时,假如参数个数多于一个可有选择的使用@param。问题分析

其实刚开始我也没太去看sql里的#和$，我把sql放到数据库跑一切正常，所以我就将代码的执行sql输出到控制台了，具体是这么一个输出sql的配置文件：

从图上可以看出 wwlr.LabelId in(${showLabels}) 和 wwlr.LabelId in(#{showLabels})，其中showLabels是传进来一个字符串类型的参数，参数的样子是这样的“4,44,514”，问题就出在这个参数传进来后#和$处理的方式是不一样的。

1. #{ }是预编译处理，MyBatis在处理#{ }时，它会将sql中的#{ }替换为？，然后调用PreparedStatement的set方法来赋值，传入字符串后，会在值两边加上单引号，如上面的值 “4,44,514”就会变成“ '4,44,514' ”；
2. ${ }是字符串替换， MyBatis在处理${ }时,它会将sql中的${ }替换为变量的值，传入的数据不会加两边加上单引号。

注意：使用${ }会导致sql注入，不利于系统的安全性！

SQL注入：就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。常见的有匿名登录（在登录框输入恶意的字符串）、借助异常获取数据库信息等

应用场合：

1. #{ }：主要用户获取DAO中的参数数据,在映射文件的SQL语句中出现#{}表达式,底层会创建预编译的SQL；
2. `${ }:主要用于获取配置文件数据,DAO接口中的参数信息,当$出现在映射文件的SQL语句中时创建的不是预编译的SQL,而是字符串的拼接,有可能会导致SQL注入问题.所以一般使用$接收dao参数时,这些参数一般是字段名,表名等,例如order by {column}。

注： `${}获取DAO参数数据时,参数必须使用@param注解进行修饰或者使用下标或者参数#{param1}形式；

#{}获取DAO参数数据时,假如参数个数多于一个可有选择的使用@param。问题分析

其实刚开始我也没太去看sql里的#和$，我把sql放到数据库跑一切正常，所以我就将代码的执行sql输出到控制台了，具体是这么一个输出sql的配置文件：

通过上图，大家也应该也了解和使用这个标签了吧。

那对于我们项目中的改造，其实就是把原来传进来的字符型参数变成List，这样问题就完美的解决了，既实现了我们的功能 ，又解决了安全性问题。