mybatis的#{}和${}的区别以及order by注入问题

最新推荐文章于 2024-07-10 21:37:49 发布
最新推荐文章于 2024-07-10 21:37:49 发布
阅读量294 收藏 1
点赞数
文章标签: java 前端 ViewUI
原文链接:http://www.cnblogs.com/xieshuang/p/11017121.html
版权
一、问题

根据前端传过来的表格排序字段和排序方式,后端使用的mybaits

select XXXX from table order by #{column} #{desc}

如上面的形式发现排序没有生效,查看打印的日志发现实际执行的sql为,排序没有生效

select XXXXX from table order by "column" "desc"
二、原因分析

主要还是对mybatis传参形式不了解,官方介绍如下:

By default, using the #{} syntax will cause MyBatis to generate PreparedStatement properties and set the values safely against the PreparedStatement parameters (e.g. ?). While this is safer, faster and almost always preferred, sometimes you just want to directly inject an unmodified string into the SQL Statement. For example, for ORDER BY, you might use something like this:
@Select("select * from user where ${column} = #{value}")
User findByColumn(@Param("column") String column, @Param("value") String value);

从官方文档中可以看出#{}相当于jdbc中的preparedstatement,进行了预编译,而${}直接是字符串本身,是有意设计成这样,方便拼接成动态sql,但是这样也带来缺点,可能存在注入问题。

参考阅读:http://www.mybatis.org/mybatis-3/sqlmap-xml.html#Parameters

转载于:https://www.cnblogs.com/xieshuang/p/11017121.html

angyuhh07719
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解mybatis的#{}和${}的区别以及order by注入问题
蜻蜓队长
09-09 421
直奔主题… #{}相当于jdbc中的preparedstatement ${}是输出变量的值 你可能说不明所以,不要紧我们看2段代码: String sql = "select * from admin_domain_location order by ?"; PreparedStatement st = con.prepareStatement(sql); st.setString(1, "domain_id"); System.out.println(st.toString());  Res
mybatis中的#{}和${}的区别
jackzhang1996的博客
03-25 216
mybatis中的#{}和${}的区别 FIRST 首先要搞清楚一个动态解析和预编译。动态解析可以理解为mybatis将mapper中的sql解析为预编译语句可以认识的预编译sql;预编译就是PreparedStatement对sql进行编译,变为DBMS可以直接执行的sql。 SECOND #{}是占位符、防止sql注入mybatis在动态解析的时候会将#{} 替换为? 然后用Prepared...
MyBatis中#{}和${}的区别详解
qq_29700907的博客
06-19 438
mybatis和ibatis总体来讲都差不多的。下面小编给大家探讨下mybatis中#{}和${}的区别,感兴趣的朋友一起学习吧 最近在用mybatis,之前用过ibatis,总体来说差不多,不过还是遇到了不少问题,再次记录下. 先给大家介绍下MyBatis中#{}和${}的区别,具体介绍如下: 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id
MyBatis排序时使用order by 动态参数时需要注意,用$而不是#, #{}和${}的区别以及order by注入问题
Syd丶
05-23 1万+
ORDER BY ${columnName} 这里MyBatis不会修改或转义字符串。 重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。 #{}相当于jdbc中的preparedstatement ${}是输出变量的值 简单的说就是#{}传过来的参数带单引号''
mybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入
yump的博客笔记
09-29 2万+
mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected 'EOF', got '#' at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。 一、mybatis的两种传参方式#{}和${} 1. #传参 1.1 # 是通过prepareStatement的预编译的,会对自动传入的数据加
Mybatis中xml配置文件order by字段注意事项
qq_56742368的博客
08-26 517
Mybatis中如果使用#符引用参数,会自动在参数值两端加引号,导致排序失效,因此Mybatis中使用Order By时一定使用$符号!因为使用错误也不会报错,因此可能不容易发现。
Mybatisorderby引起的sql注入
西溪少女的梦
07-01 3991
sql中两种传参数的方式: #{param} 这种是经过预编译的,不会有sql注入 ${param} 这种仅仅取变量的值,可以有sql注入 但是在orderby中之能用${param},用#会导致排序不生效。 例如,传入值为name时 用 SELECT * FROM STUDENT ORDER BY #{orderby}会变成: SELECT * FROM STUDENT OR...
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis中的#和$的区别 以及防止sql注入的方法
09-01
MyBatis中,`#`和`$`在动态SQL中的使用有着明显的区别,它们在处理传入数据的方式上有所不同,同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
Mybatis中#{}与${}的区别详解
08-25
Mybatis 中的 #{} 与 ${} 是两个不同的占位符号,用于实现动态 SQL,两者的主要区别在于防止 SQL 注入的能力。#{} 能够很大程度防止 SQL 注入,而 ${} 方式无法防止 SQL 注入。 #{} 是一个占位符号,相当于 JDBC 中...
MyBatis 中 ${}和 #{}的正确使用方法(千万不要乱用)
08-18
MyBatis框架中,${} 和 #{} 是两种不同的参数占位符,它们的使用方式和作用有明显的区别,对于SQL语句的安全性和效率有着重要影响。 1. #{} #{} 是预编译处理的方式,也被称为参数绑定或者预处理。在处理 #{ } ...
Javamybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入
DreamSun的博客
07-21 2634
mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected ‘EOF’, got ‘#’ at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。
SQL特殊位置注入order注入和limit注入
fly_enum的博客
09-25 1041
平常在做测试的过程中,我们经常遇到的sql注入点一般是在where语句后面,但是偶尔也会遇到注入点在order by和limit。这两个位置由于其有一些特殊性,导致一些注入方式不能使用。下面就一起来看看这两个位置如何去注入
Mybatis使用order by语句
秃头哥编程
08-11 8131
今天在公司写代码的时候,想到有这样的需求,就是点击不同的按钮,跳转到同一个页面,但根据不同的条件对查询出来的结果进行排序。因为有六七种情况,所以我不可能相同的代码重复写六七遍,仅仅是查询条件不同。 所以自然而然的就想到传入一个参数给sql语句,然后使用order by进行排序。 因为之前一直使用#运算符,所以一如既往,使用#运算符就干,然鹅结果却是不起作用,看了一下输出日志,发现是这样输出的 ...
mybatis order by 排序
热门推荐
xiaofanren1111的博客
03-07 2万+
在使用MyBatis解析xml进行排序的时候,遇见排序无效的问题!#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #{user_id},如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”。$将传入的数据直接显示生成在sql中。如:order by ${user_id},...
Mybatis动态order by 传参#和$的区别
qq_44739966的博客
11-11 725
${}字符串替换 #{}预编译,防止注入攻击 默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用: ORDER BY ${columnName} 这里MyBatis不会修改或转义字符串。 重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或
Mybatis Order by动态参数防注入
qq_34819372的博客
06-02 1万+
一、先提及一下Mybatis动态参数 c
配置Java开发环境
最新发布
Broken_x的博客
07-10 1082
Java开发环境配置
mybatis #{}和${}
08-15
这种语法适用于一些特定的场景,如排序场景,因为order by语句要求字段名称直接跟在${}后面。然而,由于${}语法不对参数进行转义,它有可能会导致SQL注入攻击的风险。因此,在使用${}时需要特别注意参数的来源和安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值