使用拼接符还是占位符——由Mybatis排序无效问题的延伸

最新推荐文章于 2023-12-25 11:41:50 发布
最新推荐文章于 2023-12-25 11:41:50 发布
阅读量1.2k 收藏 2
点赞数 1
分类专栏: MySQL 踩坑日常 文章标签: 拼接符 占位符 Order by
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SeasonSoy/article/details/84239008
版权

使用拼接符还是占位符?

使用区别

占位符#相比于拼接符$最大的区别就是能防止SQL注入,所以原则上应该尽可能的使用#而不是$,那么应该在什么情况下使用$

由这个经典的order by 问题引出

在sql里,任意一句select 语句加上order by 关键字 (或是已有order by关键字),然后加上'dafafadfagdghfdc 23423'或者是 '' 或者是 23141234或者再加一个, ''这样乱七八糟的参数是不影响sql的’正常运行’的,这意味着什么?意味着如果order by 后跟的是一个参数,那么如果参数和关键字都被引号给包住,那么无论是参数还是关键字都不起任何作用,而且不会报任何错误,例如

注意代码高亮
order by "id desc"
-- 而不是
order by id desc

想要排序的一定是某个或者多个字段,那么

涉及到字段名传参的时候就不能使用#,而得使用$
仅仅是字段值参数的传递,需要使用#

需要保持良好习惯的是,即使是用拼接符,在涉及到传值的时候,也手动为参数两边加引号,防止下面这种类型的注入

WHERE U_account = 'xxxxxx or 1=1 -- '

底层区别

# 占位符在生成statement会用占位符,由JDBC的preparedStatement对象使用set赋值把SQL中的?用变量填充
$ 占位符会在statementHandler对象处理参数调用parameterize方法直接替换为变量的值

参考

mybatis中order by排序无效问题|

  1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #{user_id},如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id"
  2. $将传入的数据直接显示生成在sql中。如:order by ${user_id},如果传入的值是111,那么解析成sql时的值为order by 111, 如果传入的值是id,则解析成的sql为order by id
  3. #方式能够很大程度防止sql注入。
  4. $方式无法防止Sql注入。
  5. $方式一般用于传入数据库对象,例如传入表名。
  6. 一般能用#的就别用$

ps: 在使用mybatis中还遇到<![CDATA[]]>的用法,在该符号内的语句,将不会被当成字符串来处理,而是直接当成sql语句,比如要执行一个存储过程。

LLH_Durian
关注
专栏目录
MyBatis】在 ORDER BY 中的 #{} 占位符问题
qq_16226933的博客
07-22 598
Order by中的 #{} 标签不起作用,本文记录了两种解决方案。
spring+mybatis 配置文件占位符不能解析的问题
huazhizui的专栏
07-16 627
         在spring里使用org.mybatis.spring.mapper.MapperScannerConfigurer 进行自动扫描的时候,设置了sqlSessionFactory 的话,可能会导致PropertyPlaceholderConfigurer失效,也就是用${jdbc.username}这样之类的表达式,将无法 获取到properties文件里的内容。 导致这一原...
MyBatis XML 文件中注释包含占位符导致参数匹配失败
xiaokanfuchen86的博客
04-26 413
MyBatis XML 中使用包含占位符的注释,会导致异常:java.sql.SQLException: 序列号无效 org.mybatis.spring.MyBatisSystemException: nested exception is org.apache.ibatis.type.TypeException: Could not set parameters for mapping: ParameterMapping{property='id', mode=IN, javaType=c..
mybatis 使用mysql索引_mybatis占位符使用错误导致mysql隐式转换造成的索引失效。...
weixin_39881802的博客
01-19 468
记录一次mybatis占位符使用错误的问题:mapper.xml 的正确使用#{}, 会在查询时拼接' ', 保证=两边的数据类型都是Stringselect ORDER_NO from trx_order_info t where t.CUST_NO=#{custNo} and t.prod_sub_no=#{prod_sub_no} limit 1;一 : 理解mybatis中 $与#在my...
mybatis 占位符问题
weixin_43228497的博客
01-07 1292
那次用这种占位符的方式报错: 而且这种方式很少被用,所以,最好用一下的这种:
mybatis动态拼接sql,实现不同字段排序
qq_42508660的博客
11-07 347
该条件可以拼接到sql后,实现不同排序字段拼接
Mybatis日志参数快速替换占位符工具的详细步骤
08-18
在默认的日志输出中,Mybatis使用占位符(?)表示传入的参数,这在某些情况下可能不够直观。为了便于快速排错和理解SQL逻辑,开发者可以使用这个工具将日志中的占位符替换为实际参数值。 在Mybatis的执行日志中,...
Spring及Mybatis整合占位符解析失败问题解决
08-18
然而,在使用Spring和Mybatis进行开发时,可能会遇到一些问题,例如占位符解析失败问题。本文将介绍如何解决这个问题,并详细解释解决方法的原理。 问题描述: 在使用Spring和Mybatis进行开发时,可能会遇到以下...
mybatis占位符的讲解
毕业势必进大厂的博客
11-05 5729
mybatis中,占位符有两个,一个是#,一个是$,这两个有什么区别,我们分别来讲解一下 1. 占位符#{} 语法:#{字} #占位符告诉mybatis使用实际的参数值代替。并,#{…}代替sql语句的"?"。这样做更安全,更迅速,通常也是首选做法 mapper文件中 <select id="selectStudentById" parameterType="int" resultType="com.lu.entity.Student"> select id, name, email, a
MyBatis中的Mapper文件配置——编写mybatis mapper.xml文件
程序员光剑
07-29 4898
MyBatis 是一款优秀的持久层框架,它可以使得使用 SQL 和 HQL 来操作数据库变得很简单, MyBatis 将原生的jdbc API隐藏在接口中,使开发人员更关注业务逻辑,从而方便地实现数据持久化操作。MyBatis 中最重要的组件之一就是 MyBatis 的 Mapper XML 配置文件。Mapper XML 配置文件用来描述 MyBatis 映射器接口及其对应的 SQL、SQL语句的参数类型、返回值类型等信息。
MyBatis学习笔记五】——MyBatis注解的简单使用.zip
05-30
MyBatis学习笔记五】——MyBatis注解的简单使用.zip 博客地址:https://blog.csdn.net/weixin_43817709/article/details/117407621
mysql where后面的in查询默认排序问题
amine520的博客
12-14 3960
mysql在select的时候,如果where后面是in结构,查询出来的结果不会按in里面的数据顺序进行返回,而是有默认的排序。通常用到in的时候,是在update做批量更新的时候,这种情况不需要查询in结构里面的数据,所以不会出现数据紊乱的情况。但是,如果需要获取多条数据,并且这多条数据,在数据库中不是自然顺序的时候,select出来的数据会对查询出来的数据进行默认的排序,经自身的测试,应该是按...
Mybatis的动态拼接条件
炫的博客
11-28 3152
官网的例子永远是最好的,切记切记!! 拼接条件 <sql id="select_asset_where"> <if test="accountType != null and accountType.size != 0" > and <foreach collection="accountType" item="param"
Mybatis字段排序
web15870359587的博客
03-28 880
从前学习Spring开发的时候写过一个Web系统,后端采用Spring+SpringMVC+MyBatis,前端使用BootStrap和LigerUI,业务数据采用LigerUI的LigerGrid进行展示,由于LigerGrid只能支持单字段排序,有些时候业务需要进行多字段排序,刚好也准备重新换一下前端界面效果和框架,最近刚好看了下EasyUI,发现EasyUI是可以支持多字段排序的,就用EasyUI作为前端对工程进行了改造。 先放出LigerGrid单字段排序的实现过程: 前端传参(如下图): 实体类
Mybatis 动态排序
BoomLee的博客
06-05 6779
1.应用场景不同字段,升序,降序2.解决方案 1.需要排序的表对应的实体类,添加两个字段 columnName sort 。一个是根据哪个列进行排序,一个是排序顺序,升序还是降序。2.mybatis xmlORDER BY &lt;choose&gt; &lt;when test="columnName != null"&gt; ${columnName} &lt;/w...
MyBatis Plus 如何实现动态排序@杨章隐
最新发布
杨章隐的博客
12-25 3361
MyBatis Plus 、MyBatis 实现动态排序
MySQL order by之后用占位符导致排序失效
u012503481的博客
07-01 1256
order by之后使用PreparedStatement的占位符导致排序失效
mybatis占位符
09-12
MyBatis使用占位符来提供动态SQL查询的参数化能力。占位符的作用是代替实际的参数值,使查询能够根据不同的参数值生成不同的SQL语句。在MyBatis中,占位符使用`#{}`包围,如`#{param}`。 使用占位符的好处是可以防止SQL注入攻击,并且能够更好地重用SQL语句。在执行查询时,MyBatis会自动将占位符替换为实际的参数值,并将生成的SQL语句发送给数据库执行。 下面是一个使用占位符的示例: ```xml <select id="getUserById" resultType="User"> SELECT * FROM users WHERE id = #{id} </select> ``` 在上面的示例中,`#{id}`是一个占位符,表示参数id的值。在实际执行查询时,MyBatis会将占位符替换为实际的参数值。 除了简单的占位符`#{param}`外,MyBatis还支持更复杂的占位符表达式,如`${param}`、`#{param,javaType=int,jdbcType=INTEGER}`等。这些占位符表达式可以用于更灵活地控制参数类型、JDBC类型以及函数调用等。 希望以上信息能对你有所帮助!如果你有任何其他问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值