mybatis中 #{}和${}的区别

简明的解释:

#{}是预编译处理,$ {}是字符串替换(当做占位符来用)。

mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的
set方法来赋值;

mybatis在处理 $ {} 时,就是把 ${} 替换成变量的值。

使用 #{} 可以有效的防止SQL注入,提高系统安全性。

在某些特殊场合下只能用${},不能用#{}。例如:在使用排序时ORDER BY ${id},
如果使用#{id},则会被解析成ORDER BY “id”,这显然是一种错误的写法。

**到此结束即可**

解决SQL注入的办法就是预编译处理

使用 #{} 进行预编译处理,可以有效的防止SQL注入,提高系统安全性。

    预编译的机制。预编译是提前对SQL语句进行预编译,而其后注入的参数将
    不会再进行SQL编译。我们知道,SQL注入是发生在编译的过程中,因为注入
    sql语句常用的字符如:单引号(')和井号(#)进行恶意地闭合和注释,改变了
    我们的原有句子,最后被编译执行了恶意操作。而预编译机制则可以很好的
    防止SQL注入。

关于sql注释的简单解释

假设下方语句是我们自己写的做登录用户的java后台部分语句,
我们想的是只有账号密码正确才可以登录

String sql ="select * from table where id = '"+ admin +
"'and password ='"+password+"'"; //拼接参数
ResultSet rs = (ResultSet) stmt.executeQuery(sql);//执行sql语句
但如果提交表单的数据是 admin的是 ' or 1 = 1 #   然后password 
随便填吧 比如 james

那么sql句子变成:

select
   * 
from 
  table 
where    id = ' ' or 1 = 1 # 'and password =' james ';

注意这时句子中的 # 井号会把后面的 ’ and password =’ hj '; 注释掉而无法判断,因为 or 1 = 1 这一句会告诉数据库是正确的,然后我萌就能基于这个原理实现偷偷给自己的数据库搞事情了。

!仅供学习
现在的大型网站就别想了,学校的官网不知道有没有预处理和防范。(我什么也没说,什么也没说)
再次声明:仅供学习!!!!

  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值