mybatis中“#{}”占位符与“${}”占位符的一个区别(仅记录用)

最新推荐文章于 2022-08-05 21:54:00 发布
最新推荐文章于 2022-08-05 21:54:00 发布
阅读量229 收藏
点赞数 1
分类专栏: 当程序媛时走过的坑 文章标签: java spring boot spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zs_21399/article/details/125316459
版权

springboot中一般为了提高安全性,都会在配置文件中配置spring.datasource.druid.filters: wall,slf4j;如下图(yml文件,格式不一样):

其中,防火墙wall是用于防止sql注入的。在实际开发过程中,可能会由内部生成sql条件并需要内部注入到mapper中,此时,使用“#”占位符时,会被防火墙拦下,导致报各种错误。

      经过试验,可有2种方案:1、去除配置文件中的“wall”属性,系统安全性会降低;2、将“#”占位符修改为“$”占位符,此时sql注入则不会被防火墙拦下。查阅资料知道,$做的是直接的字符串拼接,而“#”是采用占位符的方式,它会根据是否是字符型选择是否自行添加' '。

事例:

“#”占位符时,sql如下:

    <select id="queryUserById" resultType="User">
        <include refid="user_field"></include>
        where id = #{id}
    </select>

查询结果: “$”占位符时,sql如下:

    <select id="queryUserById" resultType="User">
        <include refid="user_field"></include>
        where id = concat("'",${id},"'")
    </select>

查询结果:

 

文章中资料参考,更多了解也可访问,我自己够用了:Mybatis学习笔记-11 取值符号$、#以及SQL注入问题_WALL-SQ的博客-CSDN博客区别1:当有@Parm("xx")指明参数名称时,对于数值型数据,#和$不存在实质性的区别,对于字符型数据,$取出的值是不会自带引号''的。数值型实验:1. 在DAO中添加方法User queryUserById(@Param("id") Integer id);2. 编写Mapper.xmlA. 采用#取值 <sql id="user_field"> select id,username,password,gender,regist_ti.https://blog.csdn.net/qq_39304630/article/details/112305787 

Zs_21399
关注
专栏目录
mybatis的#和$使用区别
学无止境
02-27 865
mybatis的#和$使用区别
Mybatis之#{}与${}的区别使用详解
08-19
#{}是Mybatis的一种占位符,用于将参数传递给SQL语句。在SQL语句,#{}将被替换为一个问号(?),以便防止SQL注入。例如,在以下示例代码,#{}将被替换为一个问号: ```sql select * from t_emp WHERE emp_...
Mybatis#{}与${}的占位符区别(无废话+易懂演示)
BLWY_1124的博客
08-05 374
mybatis#和$的区别是什么?
MyBatis占位符#{}与${}的区别
pan_nworld的博客
07-09 463
MyBatis占位符#{}与${}的区别 1、#{}占位符 语法: #{字符} Mybatis处理#{} 使用jdbc 的PrepareStatement对象 例: mapper文件: <select id="selectById" parameterType="int" resultType="com.bjpowernode.domain.Student"> select id,name,email,age from student whe
MyBatis#和$占位符区别
陈东东的博客
11-04 1073
#{value} 使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且在使用#{}时形成的sql语句,已经带有引号。 例如,select * from table1 where id=#{id} 在调用这个语句时我们可以通过后台看到打印出的sql为:select * f...
MyBatis学习:#占位符和 $占位符区别
weixin_46281472的博客
08-05 1108
目前我本人正在学习MyBatis框架,在原先了解并且懵懵懂懂使用的基础上,开始系统正式的学习。阐述了MVC架构模式和三层架构,明晰了在Web项目的普遍编码层次,回顾了JDBC连接数据库,建立了使用MyBatis和MySQL的Maven项目,解释了STDOUT_LOGGING日志和手动提交事务,记录MyBatis#占位符使用方法,回顾了MyBatis执行SQL语句的过程和使用到的一些重要类和接口,记录了将固定化的代码整合到一个工具类MyBatisUtil,以减少代码量。...
Mybatis#{}与${}的区别详解
08-25
因此,在 JDBC 能使用占位符的地方,优先使用 #{},而在 JDBC 不支持使用占位符的地方,使用 ${}。 在实际开发,#{} 和 ${} 都有其应用场景。例如,在模糊查询方面,#{} 和 ${} 都可以用于实现动态 SQL,但是 #{}...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Mybatis下动态sql##和$$的区别讲解
08-26
一个#{ }被解析为一个参数占位符?。而${ }一个纯碎的string替换,在动态SQL解析阶段将会进行变量替换。例如,Mapper.xml如下的SQL: select * from user where name = ${name}; 当我们传递的参数为"Jack...
MyBatis#{}和${}的区别详解
09-01
MyBatis框架,`#{}`和`${}`是两种不同的占位符,它们各自有不同的用途和特性。了解它们的区别对于编写安全、高效的SQL语句至关重要。 首先,`#{}`是预编译参数的表示方式,它会被MyBatis转化为...
Mybatis占位符 #与占位符$区别
zalan01408980的博客
04-20 677
#{}速度快,能防止sql注入,是占位符方式,先预编译,然后填充参数,字符串格式,用户名=(___),参数只是下划线上的内容${}是直接拼接到语句上,这种方式需要自己拼括号和参数,但是也可以拼接想执行的任何语句,也就是传说的sql注入详情如下 在MyBatis使用参数进行SQL拼装经常会使用到#{var}和${var}两种参数的设置方式。下面是两种方式的不用之处: #{var}使用预编译的...
MyBatis——谈谈占位符(#、$)的理解与使用
★★光亭★★
03-02 3万+
MyBatis——谈谈占位符(#、$)的理解与使用
spring+mybatis 配置文件占位符不能解析的问题
huazhizui的专栏
07-16 627
         在spring使用org.mybatis.spring.mapper.MapperScannerConfigurer 进行自动扫描的时候,设置了sqlSessionFactory 的话,可能会导致PropertyPlaceholderConfigurer失效,也就是用${jdbc.username}这样之类的表达式,将无法 获取到properties文件里的内容。 导致这一原...
mybatis include标签进阶用法
我的博客
03-29 1万+
mybatis include 鲜为人知的进阶用法
关于refid使用
ljljlj1993的博客
10-19 1万+
关于refid使用 首先定义一个id,然后通过refid通过id将之前定义的内容进行引用,这样适用于同一字符串被大量引用的时候应用, 具体代码如下 <sql id="tableName"> SN_MENU_TEST </sql> <select id="findAllMenu" resultMa...
MyBatis sql标签include标签使用
热门推荐
小明的博客
08-03 7万+
<sql> 和 <include> <sql>用来封装SQL语句, <include>来调用 代码片段: <sql id="select"> SELECT *FROM`body_index` </sql> <select id="find" resultType="*" resultMap="*"> ...
mapper <include refid="XXX"></include>标签 <sql id="XXX">标签
红星小学扛把子!
07-04 6265
引言 标签用法是引用sql片段 标签 是书写sql片段 被include 引用的 直接上代码: <sql id="query_where"> <where> excel_file_id = #{excelFileId} <if test="field1 != null"> ...
Mybatis#和$的区别
伏颜的博客
07-11 1万+
Mybatis#和$的区别
2mybatis(和占位符与拼接符区别)
xiaoxiaoniaoQ的博客
10-11 800
6.2.3. 占位符与拼接符区别 1.  类型处理: 占位符#{}传递参数时会做参数类型处理, 拼接符${}传递参数时不会做类型处理只进行字符串原样拼接 2.  安全性: ${}的原样拼接导致它存在安全漏洞,容易产生SQL注入风险 #{}的类型处理会对参数存在的SQL敏感字符先转义然后再映射给SQL,这就不会影响原先的SQL,因此可以有效防止SQL注入。 3.  工作的应用: ...
mybatis#{}与${}的区别,用二维表表示
最新发布
06-06
| 数据类型 | #{} 的变量会被解析为预编译语句占位符,会将参数作为一个字符串进行处理,因此不需要手动进行类型转换。 | ${} 的变量会被直接替换成变量对应的值,因此需要手动进行类型转换。 | | SQL注入...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值