EL表达式,#{}和${}区别(是否防止sql注入)

已于 2022-07-21 16:55:59 修改
阅读量1.3k 收藏 2
点赞数 1
分类专栏: 问题 文章标签: java mybatis
于 2021-08-12 20:03:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HSH541/article/details/119652600
版权

#相当于对数据 加上 双引号,$相当于直接显示数据

#可以有效的防止SQL注入 会加上“” 之后写进sql中
$不能防止SQL注入 因为会直接写进sql语句中

  1. 使用#时:
    用#来传递参数时,sql在解析的时候会加上“”,当成字符段来解析。例如id=“12”。所有很大程度上防止sql注入。
  2. 使用$时:
    $传入数据直接显示在生成的sql中,如上面的语句id=${12}直接解析为id=12,执行时会报错。
    能用#尽量用#。

#{} 用于CRUD(增删改查)语句,${} 则用于模糊查询(记得加%%哦)
sql注入:恶意攻击,通过sql语句在登陆界面等,违法登陆。

补充:

1. 什么是sql注入?

恶意修改(增加)sql语句
实战举例
用户在输入框中输入的字符串中加入 SQL 语句。
如果在设计不良的程序中忽略了检查,那么这些注入进去的 SQL 语句就会被数据库服务器误认为是正常的 SQL 语句而运行,攻击者就可以执行计划外的命令或访问未被授权的数据。

2. 什么时候必须用$符号

既然知道了使用#是为了防止sql注入,那必须使用$符号就意味着必须sql注入(不让sql注入反而出错),也就是说,${}替代的是不需要预编译成字符串的数据,如表名、关键字的时候。
举例:
select * from ${tablename} where id = #{id} 此时入参中的 tablename 就不能使用#符号来处理

这不比博人传燃?
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
记录SpringEL表达式中的 ${}和#{}的区别
qq_38181949的博客
08-27 3829
一、${} ${} 用于加载外部文件指定的Key值,常用在xml中,@Value(" ${key_value}") 二、#{} #{} 功能比 ${} 功能更强大,强调的是把内容赋值给属性,示例: 表示常量: #{‘1’} ,#{’ This is a Constant Str’} 使用java代码new/instance of: 此方法只能是java.lang 下的类才可以省略包名 #{“new Spring(‘Hello World’)”} 使用T(Type): 使用“T(Type)”来表示java.
EL表达式 (详解)
热门推荐
qwerasdf123的专栏
05-15 30万+
 EL表达式     1、EL简介1)语法结构       ${expression}2)[]与.运算符     EL 提供.和[]两种运算符来存取数据。     当要存取的属性名称中包含一些特殊字符,如.或?等并非字母或数字的符号,就一定要使用 []。例如:         ${user.My-Name}应当改为${user
【安全】mybatis中#{}和${}导致sql注入问题及解决办法_${
最新发布
2401_84972830的博客
05-13 677
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
EL表达式
Major_S的博客
10-05 973
01-EL表达式-EL表达式的介绍 02-EL表达式-EL表达式的快速入门 03-EL表达式-EL表达式获取不同类型数据 04-EL表达式-EL表达式的注意事项 05-EL表达式-EL表达式的运算符 06-EL表达式-EL表达式的使用细节 07-EL表达式-EL表达式隐式对象 ...
7-2-EL表达式
daqi1983的博客
10-27 2721
前言 为了获取Servlet域对象中存储的数据,在JSP2.0规范里还提供了EL表达式语言,大大简化了开发的难度。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import se...
细说——SQL注入
LainWith的博客
10-09 7750
目录SQL是什么?什么是SQL注入漏洞原理漏洞原因为什么会有SQL注入注⼊点可能存在的位置漏洞危害提交方法判断注入点判断字符型还是数字型sql注入绕过获取网站路径SQL 注入读写文件1. 数据库支持文件读写2. 当前用户具有文件权限3. 知道文件绝对路径查询方式及报错盲注⭐查询方式报错盲注报错注入函数二次注入原理实施步骤举例堆叠查询DNSlog脑图常见数据库,及注入相关⭐注释符、数据库端口数据库文件后缀名特有的数据库查看当前用户或权限ASCII转换函数不同数据库注入结果的区别Sql注入中连接字符串常用函数
JavaEE+JDBC+Servlet+EL表达式的员工信息管理系统.zip
12-16
7. **安全性考虑**:在实际部署时,还需要考虑安全性问题,如SQL注入护、权限控制、会话管理等,以防止未授权的访问和恶意操作。 通过学习和实践这个项目,你可以深入理解Java后端开发的基本流程,掌握JavaEE、...
论坛java源码(SpringMVC+Hibernate+EL表达式
08-26
标题中的“论坛java源码(SpringMVC+Hibernate+EL表达式)”表明这是一个使用Java编程语言,基于SpringMVC框架、Hibernate持久层框架以及Expression Language(EL)表达式技术开发的论坛应用。这个项目可能是一个...
精选_基于JSP和SQL Server的个人健康数据采集与分析系统_源码打包
03-07
5. 安全性:如防止SQL注入、用户认证与授权,以及数据隐私保护策略。 6. 用户界面设计:使用HTML、CSS和JavaScript创建用户友好的界面,可能涉及AJAX(Asynchronous JavaScript and XML)进行异步数据交互。 7. ...
JDBC和JSTL的Jar包.zip
07-11
3. 创建Statement或PreparedStatement对象:根据需求选择执行SQL的方式,一般推荐使用PreparedStatement以防止SQL注入。 4. 执行SQL:调用Statement或PreparedStatement的`executeQuery()`或`executeUpdate()`方法。...
EL表达式详解
Zero摄氏度的博客
07-30 1435
而字符串型 “30”和int型5是不能比较的,EL表达式根据上下文,会将“30”转换为整型30和来5比较,返回true。通过s1所指向的学生对象的地址,调用getTea()方法,得到老师对象的地址,再通过其调用getTname()方法,最终得到老师的名字。el表达式先从page内置对象里找“name”的属性值,没找到,再到request里找,找到了,返回属性值 “zs”;a的值是字符串,而b的值是整型(在进行运算时,Integer类型会进行自动拆箱,调用valueOf方法),,这就是EL表达式的深度导航。
EL表达式(很全很强大)
03-28
1)语法结构${expression}, EL 提供.和[]两种运算符来存取数据${user.My-Name}应当改为${user["My-Name"] }。在EL中则可以使用param和paramValues两者来取得数据。 ${param.name} ${paramValues.name}
sql注入详解
m0_67392811的博客
06-12 5799
目录前言? ?一、漏洞原因分析二、漏洞危害三、sql注入范四、如何挖掘sql注入漏洞五、常见的注入手法联合查询(union注入)报错注入基于布尔的盲注基于时间的盲注HTTP头注入宽字节注入堆叠查询二阶注入六、sql注入getshell的几种方式结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。SQL注入(SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没
EL表达式详解大全 (转)
在路上的小马达
07-01 4090
EL表达式      1、EL简介 1)语法结构        ${expression} 2)[]与.运算符      EL 提供.和[]两种运算符来存取数据。      当要存取的属性名称中包含一些特殊字符,如.或?等并非字母或数字的符号,就一定要使用 []。 例如:          ${user.My-Name}应当改为${user["My-
sql注入介绍与实例操作( #{}和${})
weixin_43005654的博客
04-30 1953
sql注入介绍及实例操作(#{}、${})
EL表达式(${xxx})
番茄炒西红柿
10-17 2322
EL的隐式对象包括:pageContext、initParam(访问上下文参数)、param(访问请求参数)、paramValues、header(访问请求头)、headerValues、cookie(访问cookie)、applicationScope(访问application作用域)、sessionScope(访问session作用域)、requestScope(访问request作用域)、...
mybatis中#{}与${}的差别(如何防止sql注入
E=mc²
04-24 1万+
默认情况下,使用#{}语法,MyBatis会产生PreparedStatement语句中,并且安全的设置PreparedStatement参数,这个过程中MyBatis会进行必要的安全检查和转义。 #相当于对数据 加上 双引号,$相当于直接显示数据 示例1: 执行SQL:select * from emp where name = #{employeeName} 参数:employeeNa
mybatis SQL注入之$和#的区别
mengtianqq的博客
03-27 4362
mybatis SQL注入之$和# 目录 mybatis SQL注入之$和# 一、在sql语句中,#可以防止注入,$可以动态插入列名或者表名。 二、动态插入列名或表名的方便, 一、在sql语句中,#可以防止注入,$可以动态插入列名或者表名。 1.在sql中#{}是传参数的方式插入值,#{value}碧不参与bybatis的代码编译,是实际上#{value}就是自动帮我们加了双引...
javaweb与数据库sql链接网站登录和注册功能实现
06-28
在实现过程中,需要注意安全性问题,如防止SQL注入攻击等。同时,还需要考虑用户体验,如输入框的验证、密码加密等。 回答2:</h3><br/>JavaWeb即Java开发的Web应用程序,常见的包括Servlet、JSP、Struts、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值