Web中Mybatis动态sql的实现和理解

最新推荐文章于 2024-07-02 13:38:58 发布
最新推荐文章于 2024-07-02 13:38:58 发布
阅读量669 收藏
点赞数
分类专栏: web开发 文章标签: mybatis 数据 sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/billisky/article/details/73850666
版权

在实际项目开发遇到如下问题:

使用Mybatis框架时,sql表格随着时间改变名字,在进行sql查询时参数传递报错。做了以下关于mybatis资料的查询和理解。

写XML中的Sql语句时会用到#{},${},这两个语法,

大多数文章推荐在进行属性查询时推荐使用#{},可以有效防止sql注入。

相对于我这种少见的动态表名或者动态属性名可以使用${}。


在mybatis中,#{} 的参数替换是发生在 DBMS 中,而 ${} 则发生在动态解析过程中。举个sql注入的例子:

select * from ${tableName} where name = #{name}

在这个例子中,如果表名为

 user; delete user; -- 

则动态解析之后 sql 如下:

select * from user; delete user; -- where name = ?;

--之后的语句被注释掉,而原本查询用户的语句变成了查询所有用户信息+删除用户表的语句,会对数据库造成重大损伤,极大可能导致服务器宕机。

但是表名用参数传递进来的时候,只能使用 ${} ,具体原因可以自己做个猜测,去验证。这也提醒我们在这种用法中要小心sql注入的问题。



billisky
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
Mybatis解析动态sql原理分析
多看多听多总结
08-11 5747
前言 废话不多说,直接进入文章。 我们在使用mybatis的时候,会在xmlsql语句。 比如这段动态sql代码: "update" parameterType="org.format.dynamicproxy.mybatis.bean.User"> UPDATE users "SET" prefixOverrides=","> if test="
MyBatis动态SQL使用与原理一文教会你
最新发布
qq_38140936的博客
07-02 1312
使用动态 SQL 并非一件易事,但借助可用于任何 SQL 映射语句的强大的动态 SQL 语言,MyBatis 显著地提升了这一特性的易用性。动态 SQL 是 MyBatis 的强大特性之一。如果你使用过 JDBC 或其它类似的框架,你应该能理解根据不同条件拼接 SQL 语句有多痛苦,例如拼接时要确保不能忘记添加必要的空格,还要注意去掉列表最后一个列名的逗号。利用动态 SQL,可以彻底摆脱这种痛苦。
浅谈MyBatis动态SQL (三)
天涯共明月的博客
02-10 432
MyBatis动态SQLMyBatis 的强大特性之一便是它的动态 SQL。如果你有使用 JDBC 或其他类似框架的经验,你就能体会到根据不同条件拼接 SQL 语句有多么痛苦。拼接的时候要确保不能忘了必要的空格,还要注意省掉列名列表最后的逗号。利用动态 SQL 这一特性可以彻底摆脱这种痛苦。 通常使用动态 SQL 不可能是独立的一部分,MyBatis 当然使用一种强大的动态 SQL
MyBatis理解与掌握(动态SQL
weixin_33786077的博客
09-17 116
MyBatis理解与掌握(动态SQL) @(MyBatis)[Java, 框架, MyBatis] if if 就是__简单的条件判断 __,利用if语句我们可以实现某些简单的条件选择。先来看如下一个例子: <select id="selectUserByUserNameAndSex" resultType="com.george....
Mybatis-动态SQL理解及使用
Ara_Hu的博客
03-09 393
动态SQL 动态 SQL 是 MyBatis 的强大特性之一。如果你使用过 JDBC 或其它类似的框架,你应该能理解根据不同条件拼接 SQL 语句有多痛苦,例如拼接时要确保不能忘记添加必要的空格,还要注意去掉列表最后一个列名的逗号。利用动态 SQL,可以彻底摆脱这种痛苦。 在博主看来,所谓动态SQL就是可以在不同的条件下拼接出不同的SQL语句Mybatis主要包含以下这些设置动态SQL的...
三,MyBatis动态SQL,缓存和分页插件, Lombok工具
01-05
通过学习这些示例代码,你可以更好地理解MyBatis动态SQL的工作原理,掌握缓存的配置和使用,了解PageHelper如何实现分页,以及Lombok如何简化JavaBean的编码工作。对于初学者来说,这是一个很好的实践平台,能够加深...
SpringMVC4+MyBatis+SQL Server2014实现数据库读分离
08-30
"SpringMVC4+MyBatis+SQL Server2014实现数据库读分离" ...希望本文能够帮助您更好地理解如何使用SpringMVC4、MyBatis和SQL Server 2014实现分离,如果您有任何问题或需要更多信息,请随时与我们联系。
Spring Boot 整合Mybatis连接SQL Server(1)
01-19
在本教程,我们将深入探讨如何使用Spring Boot框架与Mybatis进行整合,以便高效地连接并操作SQL Server数据库。Spring Boot以其简洁的配置和开箱即用的特性,已经成为Java后端开发的首选。而Mybatis作为轻量级的...
在IDEA安装MyBatis Log Plugin插件,执行mybatissql语句(推荐)
08-18
3. 当你的应用执行到含有MyBatis SQL的地方时,点击`Tools` -> `MyBatis Log Plugin`,此时插件会自动收集并展示每一步执行的SQL语句,包括动态SQL的完整形式。 通过MyBatis Log Plugin,你可以得到以下关键信息: ...
mybatis+servlet实现java web登录注册功能
04-21
在本项目,“mybatis+servlet实现java web登录注册功能”是通过集成MyBatis持久层框架和Servlet处理请求响应来构建一个简单的Java Web应用程序。这个应用的核心目标是提供用户注册和登录的基本服务,这对于任何Web...
Mybatis解析动态sql原理分析(搬运)
JoyceYoung的博客
10-01 427
目录1、首先,附上原文链接:2、介绍MyBatis一些关于动态SQL的接口和类3、源码分析走起4、实例分析5、总结 1、首先,附上原文链接: https://www.cnblogs.com/fangjian0423/p/mybaits-dynamic-sql-analysis.html 废话不多说,直接进入文章。 我们在使用mybatis的时候,会在xmlsql语句。 比如这段动态sql代码: <update id="update" parameterType="org.format.dyna
MyBatis动态SQL语句
weixin_30512785的博客
04-23 70
关键字 1.if 条件 2.choose , when 和 otherwise条件 3.where 条件 4.trim 条件 5.forEach循环 6.set 条件 一、if主要针对Map集合或者实体类 <select id="selectduo" parameterType="Map" resultType="student" > ...
动态SQL的认识
梦友
11-23 657
动态SQLMyBatis的强大特性之一,采用了功能强大的基于OGNL的表达式来完成动态SQL
MyBatis动态SQL
weijia521的博客
10-22 291
MyBatis动态SQL(认真看看, 以后SQL就爽多了) 程序员追风7月16日 点击上方蓝色“程序员追风”,选择“设为星标” 回复“关键词”获取整理好的面试资料 作者:阿进的字台 cnblogs.com/homejim/p/9909657.html MyBatis 令人喜欢的一大特性就是动态 SQL。在使用 JDBC 的过程, 根据条件进行 SQL 的拼接是很麻烦且很容易出错的。MyBatis 动态 SQL 的出现, 解决了这个麻烦。 MyBatis通过 OGNL 来进行动态 SQL.
MyBatis模块的动态Sql原理
weixin_30693683的博客
07-22 894
  mybatis动态sql的原理       mybatis框架将xml里面的sql语句构成一个一个节点,每个节点由一种SqlNode对象描述。org.apache.ibatis.scripting.xmltags包下面的以SqlNode结尾的类就是这种对象,以下是所有的SqlNode类型:   ChooseSqlNode   ForEachSqlNode   MixedSqlNode...
MyBatis -- 动态sql原理分析
liyuan413050636的博客
07-28 1146
动态sql原理分析Mybatis 动态 SQL 是做什么的动态 SQL 标签功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 Mybatis 动态 SQL 是做什么的 Mybatis的 动态 SQL 是指在进行 SQL 操作的时候,
Mybatis动态SQL理解
一瓶绿茶三元钱
03-09 3052
资料准备 官网 首先翻阅官网文档,(https://mybatis.org/mybatis-3/dynamic-sql.html)这页文档首先描述了Mybatis动态SQL是多么牛逼,解决了哪些问题,又讲了如何使用,而我们想知道他是如何实现的,所以这不是我们想要的。 Dynamic SQL One of the most powerful features of MyB...
详解MyBatis动态SQL实现原理
Java技术攻略的博客
03-25 720
MyBatis提供了强大的动态SQL语句生成功能,以应对复杂的业务场景,本篇文章将结合MyBatis解析SQL语句的过程对MyBatis对,,等动态SQL标签的支持进行分析。MyBatis3.5.6MyBatis会为映射文件的每个CURD标签节点里的SQL语句生成一个SqlSource如果是静态SQL语句,那么会生成;如果是动态SQL语句,则会生成。MyBatis在生成SqlSource时,会为CURD标签节点的每个子节点都生成一个SqlNode。
SSM框架详解:MyBatis动态SQL与整合教程
本篇文章详细介绍了MyBatis框架在Java开发的应用,特别关注了动态SQL的使用。首先,文章概述了SSM(Spring+SpringMVC+MyBatis)框架,这是一种广泛应用于企业级Java Web开发的架构模式,其Spring提供了依赖注入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值