课程名称：Spring Boot+Vue3前后端分离，实战wiki知识库系统
课程章节：10-12 思考：高频面试题
主讲老师：甲蛙

课程内容：

1. Mybatis中$和#有什么区别？

• .#将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号；可以预防SQL注入

• 如：where username=#{username}，如果传入的值是111,那么解析成sql时的值为where username=“111”, 如果传入的值是id，则解析成的sql为where username=“id”.

• 2、$将传入的数据直接显示生成在sql中；不进行预编译，无法预防SQL注入，需要在代码中做处理

• 如：where username=${username}，如果传入的值是111,那么解析成sql时的值为where username=111；如果是传入 or 1=1；这样子筛选条件失效了；

2. Mybatis怎么防止SQL注入？

• SQL注入漏洞，根本上讲，是由于错把外部输入当作SQL代码去执行

• 在编写mybatis的映射语句时，尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数，要手工地做好过滤工作，来防止sql注入攻击。

课程收获

在编写这些问题也在不断的对本章的学习内容回顾，让知识点印象更深刻，日常还是要多多练习，加深印象。