MyBatis中 #{} 与 ${} 的区别

最新推荐文章于 2020-12-07 21:45:58 发布
最新推荐文章于 2020-12-07 21:45:58 发布
阅读量128 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenyi406/article/details/103459844
版权

#{} 在一定程度上防止了SQL注入

使用#{}入参,MyBatis会生成PrepareStatement并且可以安全地设置参数(=?)的值。因为sql语句已经预编译好了,传入参数的时候,不会重新生产sql语句。安全性高。
JDBC中PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行同一个SQL时,能够提高效率。原因是SQL已编译好,再次执行时无需再编译。

//PreparedStatement预编译
Connection conn = getConn();//获得连接
String sql = "select username, password from user where username=? and password=?"; //执行sql前会预编译号该条语句
PreparedStatement pstmt = conn.prepareStatement(sql); 
pstmt.setString(1,"username"); 
pstmt.setString(2, "password");
ResultSet rs=pstmt.executeUpdate();

#将传入的数据都当成一个字符串,会对自动传入的数据加一个引号。

--XML配置SQL语句
SELECT * FROM user WHERE username=#{username}

如果传入的值是 123 ,那么解析成sql时的值为 WHERE username=‘111’,如果传入的值是id,则解析成的sql为WHERE username=‘id’。

${} 如果不对传入参数进行拦截检测,存在很严重的SQL注入问题

将 传 入 的 数 据 直 接 替 换 X M L 中 配 置 的 {} 将传入的数据直接替换XML中配置的 XML{username}等。没有对SQL进行预编译。存在很严重的SQL注入问题。
如:

--XML配置SQL语句
SELECT * FROM user WHERE username=${username} AND password=${password}

如果入参为username=‘AAA’,password=‘aaa’ 在执行时他会将传入的参数username,password替换掉 ${username}。如以下mybatis的日志

### The error may exist in file [E:\JavaWebitems\zxGitee\zxTest-java\target\classes\mybatis-plus\mapping\UserMapping.xml]
### The error may involve defaultParameterMap
### The error occurred while setting parameters
### SQL: SELECT *  FROM user  WHERE username = AAA AND password = aaa
### Cause: java.sql.SQLSyntaxErrorException: Unknown column 'AAA' in 'where clause' ; bad SQL grammar []; nested exception is java.sql.SQLSyntaxErrorException: Unknown column 'AAA' in 'where clause'] with root cause

是JDBC中拼接SQL语句的方式

private String getNameByUserId(String username,String password) {
    Connection conn = getConn();//获得连接
   String sql = "select username, password from user where username="+username+" and password="+password;
    PreparedStatement pstmt =  conn.prepareStatement(sql);
    ResultSet rs=pstmt.executeUpdate();
}

这样存在很严重的SQL注入问题,举个简答的例子,传入的参数为 username=‘AAA’–,password=随便写
执行的SQL变为

SELECT * FROM user WHERE username='AAA'-- AND password=随便写

username='AAA’后面的SQL语句被注释掉,不需要密码就可以轻松登录。

结论

在编写MyBatis的映射语句时,尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止SQL注入攻击。

chenyi406
关注
专栏目录
mybatis的#和$使用和区别
学无止境
02-27 865
mybatis的#和$使用和区别
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
浅谈Mybatis #和$区别以及原理
08-18
主要介绍了浅谈Mybatis #和$区别以及原理,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Mybatis #{ } 和 ${ } 区别
weixin_30558305的博客
09-22 108
动态 SQL 是 Mybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。Mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } 和 ${ } 会有不同的表现: select * from user where name = #{name}...
mybatis # $ 区别
hello__word__的博客
10-15 467
#{}: 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符 。    ${}: 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。   name-->cy  eg:  select id,name,age from student where name=#{name}   -- name
mybatis $ # 区别
程序员写的技术 FAQ 和杂文
08-16 4224
# 字符串处理,加单引号      可一定程度的防注入。 $ 直接引用不做处理,比如数字 如果SQL 的数字字段也用 # 的话。SQL 执行时就需要转义,多了一些无用的性能损耗。 参考: http://www.cnblogs.com/hellokitty1/p/6007801.html http://blog.sina.com.cn/s/blog_5c5bc90701
MyBatis的#和$区别
wdhouyigege的博客
07-13 279
1.#会将传入的数据解析成一个字符串,自动添加上双引号,$会将传入的数据直接显示在Sql语句如:select name,age from t_user where id = #{userId},传入参数111,则将sql解析为select name,age from t_user where id = “111”select name,age from t_user where id = ${u...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
mybatis#和$的区别
雅客
05-22 722
1.#{}用来传入参数①sql在动态解析的时候会加上" ",当成字符串来解析成为一个占位符‘?’;②可以很大程度上防止SQL注入。2.${}用来传入参数①在动态解析的时候会用转换成字符串,拼接到SQL显示;②一般用于传入数据库对象,比如表名、列名;③不能防止SQL注入;注意:1、myBatis排序时使用order by,group by 动态参数时,需使用${}。          2、当用${...
Mybatis#与$的区别
Jonny_han的博客
07-14 372
1、#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号2、$将传入的数据直接显示生成在sql3、#方式能够很大程度防止sql注入4、$方式无法防止Sql注入5、$方式一般用于传入数据库对象,例如传入表名、字段名。MyBatis排序时使用order by 动态参数时需要注意,用$而不是#6、一般能用#的就别用$...
Mybatis的#{}和${}有什么不同?
sinat_36183608的博客
02-17 744
Mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } 和 ${ } 会有不同的表现。 #{ } 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,即解析为一个参数占位符 ? 。  ${ } 仅仅为一个纯碎的 string
mybatis #与$的区别
松门一枝花
10-18 511
MyBatis/Ibatis#和$的区别 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。 如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".   2. $将传入的数据直接显示生成在sql。 如:
Mybatis #{ }与${ } 的区别
sun
03-03 393
例子:1 select * from user where name = "sun"; 2 select * from user where name = #{name}; 3 select * from user where name = ${name}; 未经研究,不会发现这里面有什么不一样的地方。因为这些sql都可以达到目的,查询名字是sun的用户。比较:动态 SQL 是 mybat...
Mybatis#{}和${}的区别
江黎
03-15 774
MyBatis #和$的区别
阿顾的博客
06-27 1208
$符号的用法 场景:用户数据特别多,需要把用户数据分表存储,user1表和user2表;查询表的信息,有时需要从user1表查,有时需要从user2表查,现在想用一个方法完成。 在UserMapper接口增加一个根据表名查询用户的方法: /** * 根据表名查询用户信息 * @param tableName * @return */ ...
Mybatis#和$的区别
清晨的炸鸡啤酒花生米的博客
12-07 2197
mybatis#和$的主要区别是:#传入的参数在SQL显示为字符串,#方式能够很大程度防止sql注入;$传入的参数在SqL直接显示为传入的值,$方式无法防止Sql注入。 1、传入的参数在SQL显示不同 #传入的参数在SQL显示为字符串(当成一个字符串),会对自动传入的数据加一个双引号。$传入的参数在SqL直接显示为传入的值 2、#可以防止SQL注入的风险(语句的拼接);但$无法防止Sql注入。 3、$方式一般用于传入数据库对象,例如传入表名。 4、大多数情况下还是经常使用#,一般...
Mybatis # 与$的区别
最新发布
09-23
与传统的JDBC相比,Mybatis提供了更简洁、灵活的方式来执行SQL语句并映射数据到Java对象Mybatis的核心思想是将SQL语句与Java代码进行分离,通过使用XML或注解来描述SQL语句的编写和映射规则。这样可以使得SQL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值