Mybatis $ 和 # 区别

最新推荐文章于 2024-07-22 14:15:06 发布
最新推荐文章于 2024-07-22 14:15:06 发布
阅读量129 收藏
点赞数
文章标签: java 数据库
原文链接:https://my.oschina.net/hlhgo/blog/1594709
版权

1,区别:

#相当于对数据 加上 双引号  ;   $相当于直接显示数据

使用#时,能够很大程度防止sql注入,因为sql在执行的是预编译,一般能用#的就别用$

$方式无法防止Sql注入,使用场景是将值直接放到sql中$。比如用于传入数据库对象,传入表名、排序的字段名

 

2,示例:

a. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。

如:order by #{user_id},如果传入的值是admin,那么解析成sql时,为:order by ?,问号为占位符,会将传递进去的admin放在该出并且加入双引号,真正执行的时候为:order by "admin"
  
b. $将传入的数据直接显示生成在sql中

如:order by ${user_id},如果传入的值是admin,那么解析成sql时,为:order by admin。

 

3,躺过的坑:
MyBatis排序时使用order by 动态参数时需要注意,用$而不是#



默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用:
ORDER BY ${columnName}
这里MyBatis不会修改或转义字符串。

重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,通常是自行转义并检查。

转载于:https://my.oschina.net/hlhgo/blog/1594709

chenxi_474450906
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
Java Mybatis中的 ${ } 和 #{ }的区别使用详解
08-18
Java Mybatis中的 ${ } 和 #{ } 的区别使用详解 Java Mybatis 中的 ${ } 和 #{ } 是两个不同的占位符,都是用于在 Mybatis 中进行动态 SQL 语句的构建和参数传递。然而,这两个占位符在使用时有着极其重要的区别。 ...
MyBatis中#{}和${}的区别详解
莫日向西的博客
09-02 505
最近在用mybatis,之前用过ibatis,总体来说差不多,不过还是遇到了不少问题,再次记录下. 先给大家介绍下MyBatis中#{}和${}的区别,具体介绍如下: 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为
(转)Mybatis中的#{}和${}区别
Sid小杰的博客
08-28 335
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为or...
mybatis xml中#和$的区别
sandy_33555的博客
06-06 2077
select m.* from (select t.f_product_id,        t.f_product_show_name f_product_show_name,        ca.f_mc_show_name f_mc_show_name,       nvl(trim(wx.f_repail_status),' ') f_repail_status,       nv
Mybatis中的#与$符区别
小泽
04-05 1万+
1、#{变量名}可以进行预编译、类型匹配等操作, 2、#{变量名}会转化为jdbc的类型。 3、${变量名}不进行数据类型匹配,直接替换。 4、#方式能够很大程度防止sql注入。 5、$方式无法方式sql注入。 6、$方式一般用于传入数据库对象,例如传入表名。 7、尽量多用#方式,少用$方式。 8、#会自动加双引,$不会加双引 这两个符mybatis中最直接的区别就是:#相当于对数据 加上 单引,$相当于直接显示数据(只讨论字符串类型的)。 1、#对传入的参数视为字符串,也就..
MyBatis中#和$区别
Guo_Programmer的博客
06-18 3751
MyBatis中$和#区别详解
浅谈mybatis中的#和$的区别
09-02
MyBatis中,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Mybatis 中$与#的区别
weixin_30652491的博客
10-10 102
1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于select id,name,age from student where id ='1'. 2 $是将传入的数据直接显示生成sql语句,eg:select id,name,...
MyBatis中#{}和${}的作用与区别
陈三千的博客
03-07 6260
mybatis中#和$的主要区别是:#传入的参数在SQL中显示为字符串,#方式能够很大程度防止sql注入;$传入的参数在SqL中直接显示为传入的值,$方式无法防止Sql注入。 1、传入的参数在SQL中显示不同 #{} 将传入的参数(数据)都当成是一个字符串,在SQL中显示为字符串,会对自动传入的数据加一个双引。 「对自动传入的数据加一个双引」 例:使用以下SQL语句 select id,name from student where id =#{id}; //当我们传递的参数id为 "1" 时,上
MyBatis-$&#的区别
其实我也没有太多期盼,毕竟一生太短,少有圆满
02-27 1212
动态sql是mybatis的主要特性,在mapper中定义的参数传到xml中之后,在查询之前mybatis会对其进行动态解析,mybatis支持两种动态sql语法:#{ }以及${ } #是将传入拉丝的值当做字符串形式 $是将传入的数据直接显示生成sql语句 #可以防止sql注入, #{ }:解析一个jdbc预编译语句的参数标记,一个#{ } 被解析为一个参数占位符。 ${ } : 仅仅作为一纯粹...
Mybatis Mapper文件中的$和#的区别
Lamar's Blog
12-22 1949
Mybatis Mapper文件中的$和#的区别最近在做一个很简单的更新api接口时,遇到了一个错误。这个错误虽然让我郁闷,因为当程序更新我本地数据库的时候是能正常执行的,但是其他同事对接的时候他本地数据库时会报错(数据库结构一模一样)。 先查测试数据 假设这个api接口需要传递一个id的参数,我测试的时候传的是123,而其他同事传的是123f。我的能成功,他的不行,刚开始在想会不会是他动了数据库
mybatis &和#的区别
qq_37591449的博客
06-26 804
1.0概述 #{} : 采用预编译方式,可以防止SQL注入,#{}实现的是向prepareStatement中的预处理语句中设置参数值,sql语句中#{}表示一个占位符即? ${}: 采用直接赋值方式,无法阻止SQL注入攻击,他是直接拼接sql字符串的方式 2.0实例 2.1使用${} xml: <insert id="deptSave"> inser...
Mybatis的#{}占位符和¥{}拼接符的区别
qq_41584510的博客
08-26 1073
#{}占位符:占位 如果传入的基本数据类型,那么#{}中的变量名称可以随意写 如果传入的参数是POJO类型,那么#{}中的变量名称必须是POJO中的属性 {}拼接符:字符串原样拼接如果传入的是基本数据类型,那么{}拼接符:字符串原样拼接 如果传入的是基本数据类型,那么{}拼接符:字符串原样拼接如果传入的是基本数据类型,那么{}中的变量名必须是value 如果传入的参数是POJO类型,那么${}中的...
MyBatis中#{}和${}的区别
热门推荐
siwuxie095's blog
01-28 8万+
------------------------siwuxie095                         MyBatis 中 #{} 和 ${} 的区别       1、在 MyBatis 的映射配置文件中,动态传递参数有两种方式:    (1)#{} 占位符    (2)${} 拼接符          2、#{} 和 ${} 的区
Mybatis #和$区别以及原理
张井天的博客
06-04 4万+
总结: #可以防止Sql 注入,它会将所有传入的参数作为一个字符串来处理。 $ 则将传入的参数拼接到Sql上去执行,一般用于表名和字段名参数,$ 所对应的参数应该由服务器端提供,前端可以用参数进行选择,避免 Sql 注入的风险 为什么? 为什么 # 和 $ 的作用不同,Mybatis 对他们做了哪些惨无人道的处理,我们看一下下面的例子,并追踪一下源码总结。 示例代码: 创建一个 tb...
12. Hibernate 模板设计模式
最新发布
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 585
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP中有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目中,Hibernate仅仅只是完成项目中的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发。Spring框架中就提供的有Hibernate模板对象。一个常规的、频繁的操作代码中,大部分代码不需要变动,只有小部分代码需要根据需求变动。
Mybatis中$与#的区别, $的应用场景
04-23
Mybatis中$和#都用于动态SQL语句中的参数绑定,但它们之间有几个区别: 1. #用于预编译,$用于值传递。#会将参数放入预编译语句中的占位符中,可以避免SQL注入,但会使SQL语句无法重用;$将参数直接拼接进SQL中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值