MyBatis#{}与${}区别与动态传入字段名问题解决

最新推荐文章于 2024-08-02 16:18:07 发布
最新推荐文章于 2024-08-02 16:18:07 发布
阅读量2.6k 收藏 8
点赞数 2
文章标签: mybatis sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jas000/article/details/77845996
版权

MyBatis动态传入字段名

一、 #{}与${}区别

#{}:占位符号,好处防止sql注入,相当于JDBC中的PreparedStatement
${}:是直接输出变量的值

简单说,#{}是经过预编译的,是安全的; SQLorderby {},那么不做任何处理的时候是存在SQL注入危险的。

二.、动态传入字段名解决方案

通过以上对#{}${}符号的比较,可以很清楚的知道#{}可以防止sql注入,并且是预编译的,所以想要动态传入字段名、表名使用#{}是不行的,只有使用非预编译的${}符号。

<select id="queryCar" resultType="CarsVo parameterType="java.util.Map">  
    SELECT
      *
    FROM
      cars c
    WHERE
      c. STATUS = #{status}
    ORDER BY
      #{sort} #{sort_type}
</select>

以上代码使用#{sort}在进行动态参数传入时,正如上文所讲会发生错误,通过sort得到的参数值会先预编译,从而不能实现传入一个字段名。

通过上述讲解,要想动态传入字段名或表名,则要使用${}符号,直接取得传来值。但是这样一来就会存在sql注入的风险,所以就必须得手工防止sql注入。

三、防止sql注入

SQL注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的实体字段中(例如,为了转储数据库内容给攻击者)。

SQL注入,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“and ‘2’=’2’”这样的语句),从而入侵参数检验不足的应用程序。所以有必要在程序开发中,采用一些方式来防止该操作。在一些安全性要求很高的应用中(比如银行软件),经常使用将SQL语句全部替换为存储过程这样的方式,来防止SQL注入。

MyBatis框架作为一款半自动化的持久层框架,其SQL语句都要我们自己手动编写,因此相当需要防止sql注入。

根据上文所讲,#{}属于预编译,能够防止sql注入,所以在编写动态sql时,能使用#{}进行参数传递就尽量使用#{},如果不得已要使用${},就如动态传入字段名,就必须得自己手工进行防止sql注入代码的编写。如判断输入参数的长度是否正常(注入语句一般很长),更精确的过滤则可以查询一下输入的参数是否在预期的参数集合中。
如:

 <!--判断当前传入参数长度是否如预期参数长度相同。-->
 <if test="sort.length == 'creat_time'.length">
    ${sort}
 </if>
乐只乐之
关注
专栏目录
mssql 将查询结果作为表名参数_mybatis动态调用表名和字段名
weixin_39838758的博客
12-02 680
一直在使用Mybatis这个ORM框架,都是使用mybatis里的一些常用功能。今天在项目开发有个业务是需要限制各个用户对某些表里的字段查询以及某些字段是否显示,如某张表的某些字段不让用户查询到。这种情况下,就需要构建sql来动态传入表名、字段名了。现在对解决方法进行下总结,希望对遇到同样问题的伙伴有些帮助。 动态SQL是mybatis的强大特性之一,mybatis在对sql语句进行预编译之前,...
mybatis动态sql#{}和${}的区别
北城寒冰
04-15 490
(1)#{}表示一个占位符号,通过#{}可以实现preparedStatement向占位符设置值,自动进行java类型和jdbc类型转换,#{}可以有效防止sql注入。#{}可以接收简单类型值或pojo属性值。如果parameterType传输单个简单类型值,#{}括号可以是value或其它名称。 (2)表示拼接sql串,通过{}表示拼接sql串,通过表示拼接sql串,通过{}可以将parameterType传入的内容拼接在sql且不进行jdbc类型转换,可以接收简单类型值或pojo属性值,如果par
Mybatis实战:#{} 和 ${}的使用区别和数据库连接池
最新发布
LHY537200的博客
08-02 1562
{} 和 ${}#{} 和 ${} 在MyBatis框架都是用于SQL语句参数替换的标记,但它们在使用方式和处理参数值上存在一些显著的区别。特点1.1Interger类型的参数1.先看Interger类型的参数2.观察日志3.查看日志的输出语句我们输⼊的参数并没有在后⾯拼接,id的值是使⽤?进⾏占位. 这种SQL 我们称之为"预编译SQL"。4.我们把#{}改成${}5.再次查看输出日志信息可以看到, 这次的参数是直接拼接在SQL语句了。
mybatis里面动态传参${} 和#{}的区别
qq_37557563的博客
07-06 2504
他们的区别一句话概括:#{name}对数据 加上 双引号,${name}直接显示数据。 1、#{name}把传入的参数视为字符串,会预编译, 例子:select * from a where name= #{name} 入参name=哈哈 其实相当于select * from a where name="哈哈", 2、${name} 不会进行预编译, 例子:select * from a where name= #{name},入参name=哈哈, 其实相当于s...
mybatis动态注入字段名
et0907的博客
04-06 4477
今天公司有个需求,要求基于mysql数据库做字段的模糊查询接口,本人比较懒,总想着写的更通用一点,不想一个需求对应一个接口,那么接下来问题来了。 首先,我在原有的参数类的基础上增加了两个成员变量,一个是查询字段的集合(List),另一个是模糊查询输入框的值,如下: 然后,也就是重点来了,在mybatis的查询SQL配置当select元素当增加statementType属性,属性值为
MyBatis #{ } 和 ${ }
Ivy_Xinxxx的博客
08-21 370
区别】 #{ }是预编译处理,${ }是字符串替换 Mybatis在处理#{ } 时,会将sql的#{ }用一个占位符 ? 代替参数,然后调用PreparedStatement的set方法来赋值。 Mybatis在处理时,就是把{ }时,就是把时,就是把{ }替换成变量的值。 使用#{ } 可以有效的防止SQL注入,提高系统安全性。 【使用场景】 一般情况首选#{},因为这样能避免sql注入;如果需要传参 动态表名、动态字段名时,需要使用${} ​ 比如:select * f
Mybatis将参数作为查询字段或表名
培根芝士的专栏
02-08 3050
传入的参数作为select、create等后面的查询或创建列的字段名或表名时,一定要使用“${column}”的格式,而不能使用“#{column}”的格式。sql语句:会被解析为:select?;#{ }被解析为一个参数占位符“?”,select后面的“?”在运行时会报异常,无法解析。sql语句:当传递参数“sex”、“user”时,sql会解析为:可以看到预编译之前的sql语句已经不包含变量column和name了。
浅谈Mybatis #和$区别以及原理
08-18
#号用于参数,$号用于表名和字段名参数。Mybatis会将这些占位符处理成SQL语句,并交给PreparedStatement来执行。 源码分析 在源码,我们可以看到,Mybatis的执行入口是DefaultSqlSession.selectOne()方法。我们...
Mybatis动态调用表名和字段名解决方法
09-01
注意,由于使用了`${}`,你需要确保传入的表名和字段名是安全的,并且在传入字段名时,如果它是字符串,记得在传入参数前加上单引号,以避免SQL注入问题,例如`String columnName = "'" + columnName + "'"`。...
MyBatis#号与美元符号的区别
08-31
MyBatis框架,#号和美元符号($)在动态SQL的使用有着显著的区别,这些差异直接影响到SQL语句的预编译、类型匹配以及安全性。 首先,#{}是MyBatis的预编译占位符。当使用#{变量名}时,MyBatis会进行预编译处理...
浅谈mybatis的#和$的区别 以及防止sql注入的方法
09-01
MyBatis,`#`和`$`在动态SQL的使用有着明显的区别,它们在处理传入数据的方式上有所不同,同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
mysql ${param}与#{param}使用区别
01-19
${param}传递的参数会被当成sql语句的一部分,比如传递表名,字段名 例子:(传入值为id) order by ${param}  则解析成的sql为: order by id #{parm}传入的数据都当成一个字符串,会对自动传入的数据加一个双引号 例子:(传入值为id) select * from table where name = #{param} 则解析成的sql为: select * from table where name = “id” 为了安全,能用#的地方就用#方式传参,这样可以有效的防止sql注入攻击 sql注入简介 直接上了百度的例子,感觉一看就清晰明了
mybatis 动态传入表名 注解_MyBatis构建sql时动态传入表名以及字段名
weixin_29040367的博客
12-29 1914
一直在使用Mybatis这个ORM框架,都是使用mybatis里的一些常用功能。今天在项目开发有个业务是需要限制各个用户对某些表里的字段查询以及某些字段是否显示,如某张表的某些字段不让用户查询到。这种情况下,就需要构建sql来动态传入表名、字段名了。现在对解决方法进行下总结,希望对遇到同样问题的伙伴有些帮助。动态SQL是mybatis的强大特性之一,mybatis在对sql语句进行预编译之前,会...
Mybatis动态传入表名或者字段等
flx的博客
12-25 430
1、在动态sql解析过程,#{}与${}具有不通含义 #{}被解析为一个预编译语句的参数标记符,所以会给传入的参数加双引号 ${}被作为一个字符串的替换,直接显示在SQL,不会添加引号 2、优缺点 #{}在很大程度上防止SQL注入,${}无法防止SQL注入 3、要想实现动态传入表名和字段名就需要用到${} ...
MyBatisMyBatis如何动态传入表名和字段名
热门推荐
小包同学_
07-15 1万+
MyBatisMyBatis如何动态传入表名和字段名? 在说明MyBatis如何动态传入表名之前,我们先来说说MyBatis的#{}和${}的用法mybatis里#{}与${}的用法动态sql解析过程,#{}与${}的效果是不一样的: #{} 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符。 如以下sql语句 select * from user where name = #{name}; 会被解析为: select * from user where
mybatis使用mapper方法参数 作为 字段名出现了奇怪的问题
fsdf8sad7的博客
12-19 794
代码如下 &lt;select id="test" returnType="java.lang.Integer"&gt; select count(*) from test t where #{col} = 'xxxx' &lt;/select&gt; Integer test(@Param("col") String col); 当时使用的时候返回的结果非常奇怪,不描述了。 正确写法...
ssm合集---04 mybatis 传入参数(#和$的区别
rngigskt的博客
05-09 152
传入参数: 从java代码把数据传入到mapper文件的sql语句。 # 和 $ 的区别 一.深入理解参数 (1)parameterType: 接口方法参数的类型, 类型的完全限定名或别名。这个属性是可选的, 因为 MyBatis 可以推断出具体传入语句的参数,默认值为未设置(unset)。 接口方法的参数从 java 代码传入到 mapper 文件的 sql 语句。 例如: <select id="select...
关于Mybatis处理数据字段:status 时的怪事分析
众纳百川的博客
09-22 1731
事件描述: 数据库为Mysql 表如下: Po层 @Data public class SysUser { private Integer id;//主键1 private Integer type;//2 0 本公司 1 代理 2 经销 private Integer companyId;//3 公司ID 公司ID 0 代表本公司 private String companyName;//4 公司名称 private Integer role;//5 0管理
使用mybaits时遇到的问题1
hardlydream的博客
06-01 177
使用mybatis时遇到了一个bug,磨了一个下午,最后查看别人的文章最后总算解决了,这里记录下。 原文章在这里:https://blog.csdn.net/weixin_43244841/article/details/107339953 为了放置该路径
Mybatis如何拼接动态表名 以及#{}和${}的具体使用情况
小先生编程
05-28 1万+
mapper.java 文件 public Gpsinfo selectGpsByPlateNo(@Param(“tableName”)String tableName,@Param(“plateNo”)String plateNo); #{}与${}的区别可以简单总结如下: 1. #{}将传入的参数当成一个字符串,会给传入的参数加一个双引号 2. KaTeX parse error: Ex...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

乐只乐之

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值