mybatis中 #{}和${}的区别

最新推荐文章于 2022-11-09 16:05:13 发布
最新推荐文章于 2022-11-09 16:05:13 发布
阅读量4k 收藏 6
点赞数 1
分类专栏: mybatis 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fristjcjdncg/article/details/104194075
版权 
简明的解释:

#{}是预编译处理,$ {}是字符串替换(当做占位符来用)。

mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的
set方法来赋值;

mybatis在处理 $ {} 时,就是把 ${} 替换成变量的值。

使用 #{} 可以有效的防止SQL注入,提高系统安全性。

在某些特殊场合下只能用${},不能用#{}。例如:在使用排序时ORDER BY ${id},
如果使用#{id},则会被解析成ORDER BY “id”,这显然是一种错误的写法。

**到此结束即可**

解决SQL注入的办法就是预编译处理

使用 #{} 进行预编译处理,可以有效的防止SQL注入,提高系统安全性。

    预编译的机制。预编译是提前对SQL语句进行预编译,而其后注入的参数将
    不会再进行SQL编译。我们知道,SQL注入是发生在编译的过程中,因为注入
    sql语句常用的字符如:单引号(')和井号(#)进行恶意地闭合和注释,改变了
    我们的原有句子,最后被编译执行了恶意操作。而预编译机制则可以很好的
    防止SQL注入。

关于sql注释的简单解释

假设下方语句是我们自己写的做登录用户的java后台部分语句,
我们想的是只有账号密码正确才可以登录

String sql ="select * from table where id = '"+ admin +
"'and password ='"+password+"'"; //拼接参数
ResultSet rs = (ResultSet) stmt.executeQuery(sql);//执行sql语句
但如果提交表单的数据是 admin的是 ' or 1 = 1 #   然后password 
随便填吧 比如 james

那么sql句子变成:

select
   * 
from 
  table 
where    id = ' ' or 1 = 1 # 'and password =' james ';

注意这时句子中的 # 井号会把后面的 ’ and password =’ hj '; 注释掉而无法判断,因为 or 1 = 1 这一句会告诉数据库是正确的,然后我萌就能基于这个原理实现偷偷给自己的数据库搞事情了。

!仅供学习
现在的大型网站就别想了,学校的官网不知道有没有预处理和防范。(我什么也没说,什么也没说)
再次声明:仅供学习!!!!

十年少i
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
MyBatis#{}和${}的区别
m0_67683346的博客
02-28 4661
MyBatis#{}和${}的区别
Mybatis的#与$符区别
小泽
04-05 1万+
1、#{变量名}可以进行预编译、类型匹配等操作, 2、#{变量名}会转化为jdbc的类型。 3、${变量名}不进行数据类型匹配,直接替换。 4、#方式能够很大程度防止sql注入。 5、$方式无法方式sql注入。 6、$方式一般用于传入数据库对象,例如传入表名。 7、尽量多用#方式,少用$方式。 8、#会自动加双引,$不会加双引 这两个符mybatis最直接的区别就是:#相当于对数据 加上 单引,$相当于直接显示数据(只讨论字符串类型的)。 1、#对传入的参数视为字符串,也就..
mybatis#和$在使用上有哪些区别
hefk688的博客
09-08 4156
mybatis#和$的区别是什么 1、传入的参数在SQL显示不同 #传入的参数在SQL显示为字符串(当成一个字符串),会对自动传入的数据加一个双引。 例:使用以下SQL select id,name,age from student where id =#{id} 当我们传递的参数id为 "1" 时,上述 sql 的解析为: select id,name,age from student where id ="1" $传入的参数在SqL直接显示为传入的值 例:使用以下SQL select id,n
Mybatis 工作原理详解
huangtenglong的博客
11-09 5298
mybatis:缓存、防止注入、标签使用,结果集封装从底层实现
Mybatis 查询 # 与 {} 的大区别(和大括插叙区别)
飞奔的小强
04-08 3891
当你进行大部分查询的时候 你会发现#{} 与 ${}查询的结果是一样的 那么他们的不同在哪里呢 ;首先   #不论你传什么值进来 都会变成 ' ' 字符串形式          $你传进来的值就直接是条件  ,传什么就是什么 mybatis不会做处理第一:安全问题   就好比你学jdbc的时候 1 :select  *  from  user where username= ?和  2: sele...
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
MyBatis#与美元符区别
08-31
#{变量名}可以进行预编译、类型匹配等操作,#{变量名}会转化为jdbc的类型。很多朋友不清楚在mybatis#与美元符的不同,接下来通过本文给大家介绍两者的区别,感兴趣的朋友参考下吧
Mybatis处理 # 和 & 占位符的源码原理
Oxye
09-07 581
网上的解释都太肤浅,难以辨别真假,就自己跟了一下Mybatis源码 下面是过程记录,不详细,有空补全分析 $ : 进来是$ org.apache.ibatis.scripting.xmltags.DynamicSqlSource org.apache.ibatis.scripting.xmltags.TextSqlNode 直接替换参数 #: org.apache.ibatis.scripting.xmltags.DynamicSqlSource 进来是? org.apache.ibatis.scripti
MyBatis与美元符区别
litlit023的专栏
02-26 2507
参考链接 MyBatis与美元符区别 - coderland - 博客园
Struts2三种表达式符的用法
iteye_14672的博客
04-15 152
在做struts2项目经常遇到 “#”,“%”,“$”三种表达式符,一直都是糊里糊涂的用着,至于他们的区别也不太清楚,后来从网上查了一些资料,记下来以备查阅。 “#”主要有三种用途:         1. 访问OGNL上下文和Action上下文,#相当于ActionContext.getContext();下表有几个ActionContext有用的属性:          名称   作用 ...
与美元符区别
guangzhi0633的专栏
02-20 3367
<br />其实很简单,就是#可以进行编译,如果是字符串,那么会在sql语句增加‘’单引,如果是$符,那么穿过来的值是什么就是什么,不会做任何的处理
Mybatis#{}和${}的用法
热门推荐
li_w_ch的博客
11-17 1万+
1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引。 比如, select * from student where student_name = #{studentName} 如果传入的值为xiaoming,那么解析成sql的值为student_name="xioming"。 2、${}将传入的数据直接显示生成在sql。 如 : select ${fieldNmae} from student where student_age = 18 此时,传入的参数作为要查询的字
【转】Mybatis #{}和${}的区别
Z_jingyu的博客
05-07 444
2019.11.01 杭州的一个面试,有问道这个问题: 讲一下Mybatis #{}和${}的区别? 部分内容涉及到 MySQL的预编译 情况一:只用 #{} select * from USER where userName=#{userName} and userPassword =#{userPassword};  结果: ==> Preparing: select * fr...
mybatis #{} 和 ${} 的区别及应用场景
annotation_yang的博客
08-07 7771
&amp;amp;lt;!-- 条件查询 --&amp;amp;gt; &amp;amp;lt;select id=&amp;quot;getList&amp;quot; resultType=&amp;quot;com.ccyang.UserDao&amp;quot;&amp;amp;gt; select u.user_id , u.user_name ,
MyBatis #{ } 和 ${ }
Ivy_Xinxxx的博客
08-21 334
区别】 #{ }是预编译处理,${ }是字符串替换 Mybatis在处理#{ } 时,会将sql的#{ }用一个占位符 ? 代替参数,然后调用PreparedStatement的set方法来赋值。 Mybatis在处理时,就是把{ }时,就是把时,就是把{ }替换成变量的值。 使用#{ } 可以有效的防止SQL注入,提高系统安全性。 【使用场景】 一般情况首选#{},因为这样能避免sql注入;如果需要传参 动态表名、动态字段名时,需要使用${} ​ 比如:select * f
mybatis#和$的区别
最新发布
06-07
MyBatis,#和$都是用于替换SQL语句的占位符的符,但它们的处理方式不同。 #表示占位符,通过预编译的方式将传入的参数值进行安全的替换,防止SQL注入攻击,同时将参数值转换为对应的JDBC类型。例如: ``...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值