SQL注入$和#的区别

最新推荐文章于 2024-02-06 18:40:13 发布
最新推荐文章于 2024-02-06 18:40:13 发布
阅读量1.7k 收藏 7
点赞数
分类专栏: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dennis_wu_/article/details/101515321
版权

#{ } 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符。
例如,sqlMap 中如下的 sql 语句
select * from user where name = #{name};

解析为:
select * from user where name = ?;

一个 #{ } 被解析为一个参数占位符 ? 。
${ } 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换
例如,sqlMap 中如下的 sql
select * from user where name = '${name}';

当我们传递的参数为 "ruhua" 时,上述 sql 的解析为:
select * from user where name = "ruhua";

预编译之前的 SQL 语句已经不包含变量 name 了。
综上所得, ${ } 的变量的替换阶段是在动态 SQL 解析阶段,而 #{ }的变量的替换是在 DBMS 中。
注意:${ } 在预编译之前已经被变量替换了,这会存在 sql 注入问题。

CSU_Dennis
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
sql语句中#{}和${}的区别
m0_67678232的博客
07-13 1502
​sql 中 ${} 和 #{}的区别
MyBatis中#和$符的区别sql注入问题,动态sql语句
最新发布
m0_73381672的博客
02-06 1014
#{}和${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
浅谈mybatis中的#和$的区别 以及防止sql注入的方法
09-01
下面小编就为大家带来一篇浅谈mybatis中的#和$的区别 以及防止sql注入的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
sql注入、Mybatis中的#{参数}和${参数}
qq_45859087的博客
08-08 786
sql注入、Mybatis中的#{参数}和${参数}sql注入概述:mybatis中的#{参数} 和 ${参数}sql注入解决方案#{参数}和${参数}总结 sql注入概述: 针对SQL注入的攻击行为可描述为:在与用户交互的程序中(如web网页),非法用户通过可控参数注入SQL语法,将恶意sql语句输入拼接到原本设计好的SQL语句中,破坏原有SQL语法结构,执行了与原定计划不同的行为,达到程序编写时意料之外结果的攻击行为,其本质就是使用了字符串拼接方式构造sql语句,并且对于用户输入检查不充分,导致SQL
sql注入介绍与实例操作( #{}和${})
weixin_43005654的博客
04-30 1904
sql注入介绍及实例操作(#{}、${})
mybatis相关记录:参数获取${}、#{},#{}是如何防止注入的?批处理插入和更新
weixin_43019537的博客
06-22 861
顺便贴下JDBC:JDBC编程之预编译SQL与防注入、JDBC连接如何防止SQL注入?参考:映射体系之ResultMap原理
${}和#{}的区别以及${}的sql注入问题
acsfvsv的博客
10-15 883
最近看到了这个问题,然后深入了解了一下这个sql 的注入问题,本片文章将会介绍他们的区别以及sql注入问题。
【安全】mybatis中#{}和${}导致sql注入问题及解决办法
Innocence_0的博客
01-24 1543
使用mybatis的时候遇到了#{}和${}可能导致sql注入的问题。
#和$ SQL注入
weixin_45275399的博客
11-07 838
可以防止SQL注入。$无法防止SQL注入
EL表达式,#{}和${}区别(是否防止sql注入
HSH541的博客
08-12 1274
#相当于对数据 加上 双引号,$相当于直接显示数据 #可以有效的防止SQL注入 会加上“” 之后写进sql中 $不能防止SQL注入 因为会直接写进sql语句中 使用#时: 1、用#来传递参数时,sql在解析的时候会加上“”,当成字符段来解析。例如id=“12”。所有很大程度上防止sql注入。 使用时:2、用时: 2、用时:2、用传入数据直接显示在生成的sql中,如上面的语句id=${12}直接解析为id=12,执行时会报错。 能用#尽量用#。 #{} 用于CRUD(增删改查)语句,${} 则用于模糊查询(记
sql注入攻击流量情况
07-18
sql注入攻击流量情况
sql注入#sql靶场
11-02
sql注入#sql靶场
SQL 注入天书.pdf
08-06
SQL 注入学习天书
ERROR [com.alibaba.druid.pool.DruidDataSource] - init datasource error, url:
热门推荐
热爱我的热爱
08-07 4万+
今天连接数据库的时候报错了...原因如上ERROR [com.alibaba.druid.pool.DruidDataSource] - init datasource error, url:..... 这是url地址错误,所以连接不上数据库,把url填写正确就可以了。
mysql中table schema的基本操作
热爱我的热爱
07-20 1万+
首先要知道information_schema是什么,在MySQL中,把 information_schema 看作是一个数据库,确切说是信息数据库。其中保存着关于MySQL服务器所维护的所有其他数据库的信息。如数据库名,数据库的表,表栏的数据类型与访问权 限等。 列出test数据库中所有的表名,类型(普通表还是view)和使用的引擎   select table_name,
Mysql中大于、大于等于、小于、小于等于的写法
热爱我的热爱
09-06 9856
< <![CDATA[ < ]]> <= <![CDATA[ <= ]]> > <![CDATA[ > ]]> &g...
Mysql修改表中字段名称、字段类型
热爱我的热爱
08-16 9381
修改字段名称: ALTER TABLE 表名 CHANGE 旧字段名 新字段名 新数据类型; 修改字段类型: ALTER TABLE 表名 MODIFY COLUMN 字段名 新数据类型 新类型长度 新默认值 新注释; 其中column可省略 删除字段 alter table desktop drop column software_category_id ...
索引优缺点,什么情况下使用索引
热爱我的热爱
03-30 5271
优点:1、加快数据检索速度,提高对数据访问效率          2、提高数据查询性能缺点:1、占用大量硬盘空间          2、数据的增删改等更新操作,需要维护索引时间,降低更新速度使用场合:          1、主键列中创建索引          2、多表连接时连接列创建索引          3、where子句查询的列          4、需要经常GROUP BY和ORDER BY...
mybatis中的$和#占位符区别sql注入怎么解决?
06-12
MyBatis中的#{}和${}都是用于占位符的,但是它们的作用有所不同。 #{}用于预编译参数,它会将参数值转义后再拼接到SQL语句中,可以有效防止SQL注入攻击。 ${}用于拼接SQL语句,它会将参数值原封不动地拼接到SQL语句中,如果参数值包含SQL注入攻击的关键字,就会造成安全问题。 因此,为了避免SQL注入攻击,建议尽量使用#{}占位符,并且不要将参数值直接拼接到SQL语句中。 如果必须使用${}占位符,可以通过在SQL语句中使用转义字符或者使用正则表达式对参数值进行过滤,来防止SQL注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值