MyBatis-- 浅谈SQL中 #、$参数的动态解析过程

最新推荐文章于 2022-02-19 11:14:27 发布
最新推荐文章于 2022-02-19 11:14:27 发布
阅读量1.4k 收藏 8
点赞数 4
分类专栏: 05丨系统架构 文章标签: Mybatis #{}和${} sql注入 sql动态解析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JustinQin/article/details/91630835
版权

目录

一、学习背景

二、语句过程(Mybatis)

三、过程分析

3.1 sql动态解析

3.2 sql 预编译

3.3 DBMS(执行)

四、sql字符串拼接

4.1 ${}写法

4.2 #{}写法

五、引号问题

5.1 #{}带引号

5.2 ${}不带引号

六、sql注入问题

实例1:字段名注入

实例2:表名注入

七、总结

学习资料

引号说明

一、学习背景

很多Java面试面试官都会问到Mybatis相关问题,其中#{}、${}的使用区别最为常见,大多人都会回答:

#{}参数带引号,而${}参数不带引号;

#{}防sql注入,${}不防sql注入。

单单两句话概括的话,个人觉得这个回答稍微有点肤浅了。具体怎么个带引号法,为什么要防sql注入,注入生效会导致什么结果也没大概说一下。

本文就从Mybatis特性之一的sql动态解析,#{}、${}解析的不同展开学习,相信一定会给你的回答再加点猛料,没时间看过程的童鞋直接拉最后看总结  ~哇~ 不过这个学习过程也很重要的,有时间就看看吧。

文章主要阐述个人对所学知识的观点,有不合理的地方,欢迎纠正补充,有大犇光顾,欢迎给点指引,蟹蟹,哈哈哈哈!!!

二、语句过程(Mybatis)

三、过程分析

3.1 sql动态解析

sql动态解析是Mybatis的重要特性之一,也是Mybatis相比其他ORM框架的优势所在。sql动态解析时,sql会被解析为BoundSql对象,此处进行动态 SQL的处理。

sql动态解析阶段,#{}、${}有不同的处理体现

#{}解析为占位符?即JDBC 预编译语句(prepared statement)的参数标记符。

select * from table_name where id= #{id};

id传参数值为字符串1,解析为:

select * from table_name where id= ?;

${}则是直接拼接不带引号的参数值到sql语句上。

select * from table_name where id=${id};

解析为:

select * from table_name where id= 1;

表明${}在sql动态解析阶段进行变量替换。

3.2 sql 预编译

数据库驱动在发送sql语句和参数给DBMS之前对sql语句进行编译,这样DBMS执行sql时,就不需要重新编译。预编译阶段,会将sql动态解析阶段#{}解析到的占位符?替换为参数值(带引号的)即变量替换。

3.3 DBMS(执行)

DBMS即Database Management System(数据库管理系统)。mapper.xml自定义的sql语句,经过动态解析阶段、预编译阶段后,得到最终要发送到DBMS执行的sql。

最低0.47元/天 解锁文章
吾日三省贾斯汀
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
sql注入Mybatis的#{参数}和${参数}
qq_45859087的博客
08-08 864
sql注入Mybatis的#{参数}和${参数}sql注入概述:mybatis的#{参数} 和 ${参数}sql注入解决方案#{参数}和${参数}总结 sql注入概述: 针对SQL注入的攻击行为可描述为:在与用户交互的程序(如web网页),非法用户通过可控参数注入SQL语法,将恶意sql语句输入拼接到原本设计好的SQL语句,破坏原有SQL语法结构,执行了与原定计划不同的行为,达到程序编写时意料之外结果的攻击行为,其本质就是使用了字符串拼接方式构造sql语句,并且对于用户输入检查不充分,导致SQL
mybatis-plus配置控制台打印完整带参数SQL语句的实现
09-07
在开发过程,为了方便调试和优化SQL语句,有时我们需要在控制台打印出完整的、带有参数SQL语句。本文将详细介绍如何在MyBatis-Plus配置控制台打印这样的SQL。 首先,问题背景是开发人员在编写SQL语句时,通常...
参数动态sql
weixin_30549657的博客
01-20 416
CREATE PROC Procout(@input INT, @result INT output) AS BEGIN SET @result = @input END go DECLARE @input INT SET @input = 100 DECLARE @output I...
手动解析SQL语句
山峰在前方
01-09 708
解析原始sql 如:将 转成 ? 及 clmn的值 public static String getSQLPrepare(String paramSql, Map toValue) { if (paramSql == null || paramSql.length() < 1) { return ""; } List tempList = new ArrayList();
SQL注入总结(一)
guanjian_ci的博客
02-19 491
第一部分:常规注入(数据有回显前端) 第一步:测试数据类型 1.数字型 id=1 and 1=1 页面正常 id=1 and 1=2 页面不正常 2.字符型 id=1‘ and ’1‘=’1 页面正常 id=1‘ and ’1‘=’2 页面不正常 3.睡眠判断(数据不回显前端时使用) id=1' and sleep(10)--+ 页面缓冲10秒说明判断正确 4.开发常用接受参数的类型 数字型: id=$id 字符型: ...
sql语句的#{}占位符和${}占位符
JavaClub
06-09 8946
#方式能够很大程度防止sql注入;$方式无法防止Sql注入
MyBatis-Plus 动态表名SQL解析器的实现
09-07
在本文,我们将深入探讨MyBatis-Plus动态表名SQL解析器的实现,这对于处理大量数据或需要根据特定条件动态切换表的应用场景至关重要。首先,我们来看一下动态表名在哪些情况下会用到。 一、动态表名的使用场景 1...
Mybatis动态sql##和$$的区别讲解
08-26
Mybatis动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
MyBatis-Plus入门+MyBatis-Plus文档手册 文pdf高清版.rar
11-09
虽然mybatis可以直接在xml通过SQL语句操作数据库,很是灵活。但正其操作都要通过SQL语句进行,就必须写大量的xml文件,很是麻烦。mybatis-plus就很好的解决了这个问题。 MyBatisPlus是一个Mybatis的增强工具,在 ...
MyBatis-Plus 分页查询以及自定义sql分页的实现
09-07
MyBatis-Plus 是一个基于 MyBatis 的简化版本,它提供了一系列的便捷功能,包括自动 CRUD 操作、条件构造器、动态 SQL 等。其,分页查询是 MyBatis-Plus 提供的一个重要特性,对于处理大量数据时非常有用。 ## 一...
sql 字段名拼接_实例讲解什么是SQL注入
weixin_35728636的博客
01-25 487
点击上方SQL数据库开发,关注获取SQL视频教程SQL专栏SQL数据库基础知识汇总SQL数据库高级知识汇总WEB技术发展日新月异,但是徒手拼SQL的传统手艺还是受相当多的开发者亲睐。毕竟相比于再去学习一套复杂的ORM规则,手拼更说方便,直观。通常自己拼SQL的人,应该是有听说过SQL注入很危险,但是总是心想:我的SQL语句这么简单,不可能被注入的。花5分钟看完这个完整的例子,从今往后应该...
mybatis动态注入字段名
et0907的博客
04-06 4462
今天公司有个需求,要求基于mysql数据库做字段的模糊查询接口,本人比较懒,总想着写的更通用一点,不想一个需求对应一个接口,那么接下来问题来了。 首先,我在原有的参数类的基础上增加了两个成员变量,一个是查询字段的集合(List),另一个是模糊查询输入框的值,如下: 然后,也就是重点来了,在mybatis的查询SQL配置当select元素当增加statementType属性,属性值为
sql用#{},和 ${}传参的区别
Jeremy的博客
07-19 3766
sql用#{},和 ${}传参的区别:1、使用#传入参数是,sql语句解析是会加上‘’,是单引号。 比如 select * from table where name = #{name} ,传入的name为小李,那么最后打印出来的就是 select * from table where name = ‘小李’ 就是会当成字符串来解析,#{}传参能防止sql注入, 如果你传入的参数为 单引号’
Mybatis参数获取时$与#的区别
Xiao_CaCg的博客
10-31 2445
主要对mybatis参数值=获取方式#与$做一个简单的总结,如果有疑问自己写段Demo测试,效果比这个估计要好太多。     在mybatis#与$获取参数区别:     #{},相当于一个占位符,可以防止SQL注入的问题     ${},用于字符拼接     在使用上能用#,就用#这种方式。     使用#的方式:                             如果参
Sql参数
weixin_44513361的博客
01-20 2487
关于sql参数化 string strSql=&amp;amp;quot;select id,name from [Table] where name=@Name&amp;amp;quot;; using(SqlConnection conn = new SqlConnection (&amp;amp;quot;连接字符串&amp;amp;quot;)) { conn.open(); using(SqlCommand cmd = new Sq
SQL(参数化)的查询
07-30 5140
什么是参数化查询? 一,定义 参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可
#{} 导致 sql 语法分析错误
歪比巴卜
04-27 556
1. #{} 与 ${} 的区别 要了解这个坑就要先了解 #{} 和 ${} 的区别[1.2] #{} ${} 变量替换 变量替换后会自动加上单引号 变量替换后不会加上单引号 sql 注入 能防止 sql 注入 不能防止 sql 注入 拼接 sql 方式 以预编译的形式,将参数设置到 sql 语句,使用的是 PreparedStatement 直接拼装在 sql 语句 效率 较低 较高 2. 我的问题 我的问题是变量替换时添加单引号所导致的 mybati
SQL动态SQL
qq3164069700的博客
12-16 3829
在介绍动态SQL前我们先看看什么是静态SQL 静态SQL 静态 SQL 语句一般用于嵌入式 SQL 应用,在程序运行前,SQL 语句必须是确定的,例如 SQL 语句涉及的列名和表名必须是存在的。静态 SQL 语句的编译是在应用程序运行前进行的,编译的结果会存储在数据库内部。而后程序运行时,数据库将直接执行编译好的 SQL 语句,降低运行时的开销。 动态SQL 动态 SQL 语句是在应用程序运行时被编译和执行的,例如,使用 DB2 的交互式工具 CLP 访问数据库时,用户输入的 SQL 语句是
Mybatis-Plus 怎么解析sql的?
最新发布
07-15
Mybatis-Plus SQL解析是通过内置的 SQL 解析器来实现的。Mybatis-Plus 使用了 Mybatis 的核心组件和功能,包括 SQL 解析参数处理、SQL 执行等。 具体的 SQL 解析流程如下: 1. Mybatis-Plus 会通过 `...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吾日三省贾斯汀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值