Java #{}和${}区别

最新推荐文章于 2024-01-27 17:16:46 发布
最新推荐文章于 2024-01-27 17:16:46 发布
阅读量1.7k 收藏 11
点赞数 9
分类专栏: java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gcfffff/article/details/108157190
版权
这篇博客介绍了Java MyBatis框架中#{}和${}的区别,#{}用于防止SQL注入,而${}可能导致SQL注入问题。文中详细解释了SQL注入的原理,并通过代码示例展示了#{}如何通过预编译处理避免注入风险。同时,还提到了Spring的@Value注解,说明了#{}支持SpEL表达式,而${}用于获取配置文件中的属性值。
摘要由CSDN通过智能技术生成

Java #{}和${}区别

Mybatis中使用#{}可以防止sql注入

#{}: 表示一个占位符号,实现向PreparedStatement占位符中设置值(#{}表示一个占位符?),自动进行Java类型到JDBC类型的转换(因此#{}可以有效防止SQL注入).#{}可以接收简单类型或PO属性值,如果parameterType传输的是单个简单类型值,#{}花括号中可以是value或其它名称.

:表示拼接SQL串,通过:表示拼接SQL串,通过{}可将parameterType内容拼接在SQL中而不进行JDBC类型转换,可以接收简单类型或PO属性值,如果parameterType传输的是单个简单类型值,可以接收简单类型或PO属性值,如果parameterType传输的是单个简单类型值,{}花括号中只能是value.

虽然不能防止SQL注入,但有时不能防止SQL注入,但有时{}会非常方便(如order by排序,需要将列名通过参数传入SQL,则用ORDER BY ${column},使用#{}则无法实现此功能.

防止sql注入的原理:

先看下面用占位符来查询的一句话

String sql = “select * from administrator where adminname=?”;
psm = con.prepareStatement(sql);

String s_name =“zhangsan’ or ‘1’='1”;
psm.setString(1, s_name);

假设数据库表中并没有zhangsan这个用户名,

用plsql运行sql语句,可以查出来所有的用户名,但是在Java中并没有查出任何数据,这是为什么呢?

首先,setString()的源码中只有方法名字,并没有任何过程性处理,

那么答案肯定出现在

最低0.47元/天 解锁文章
java小白转大白
关注
专栏目录
新人一看就懂: #{} 和 ${} 的区别
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
【mybatis的#和$使用和区别
学无止境
02-27 933
【mybatis的#和$使用和区别
Java)#{}与${}的区别
热爱技术,热爱生活!
12-09 1734
区别 1.#{}解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个#{ }被解析为一个参数占位符;而${}仅仅为一个纯碎的 string 替换,在动态SQL 解析阶段将会进行变量替换。 #{}解析之后会将String类型的数据自动加上引号,其他数据类型不会;而${}解析之后是什么就是什么,他不会当做字符串处理。 #{}很大程度上可以防止SQL注入(SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作);而${}主要用于S.
java $和$$的区别_Mabitis中的#与$符号区别及用法介绍
weixin_34748612的博客
02-15 440
一、介绍mybatis 中使用 Mapper.xml里面的配置进行 sql 查询,经常需要动态传递参数,例如我们需要根据用户的姓名来筛选用户时,sql 如下:select * from user where name = "Jack";上述 sql 中,我们希望 name 后的参数 "Jack" 是动态可变的,即不同的时刻根据不同的姓名来查询用户。在 Mapper.xml文件中使用如下的 sql ...
MySQL之SQL注入
weixin_44867712的博客
02-21 141
#{} 和 ${}区别 #{} -    #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。 -      例如:order by #{parameterName} //或取Map中的value#{Key}也是一样操作。 -      假设传入参数是“Smith” -      会解析成:order by “Smith” ${} $将传入的数据直接显示生成在sql中。 -      ...
Java 中 #{}和${}的区别是什么?
qq_41806546的博客
04-03 3707
#{}是预编译处理,${}是字符串替换。 Mybatis 在处理#{}时,会将 sql 中的#{}替换为?号,调用 PreparedStatement 的 set 方法来赋值; Mybatis 在处理时,就是把{}时,就是把时,就是把{}替换成变量的值。 使用#{}可以有效的防止 SQL 注入,提高系统安全性。 ...
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
mysql中#和$的区别
weixin_43740680的博客
01-02 7447
上网看了好多博客,大多都一个意思,但是自己好像没怎么彻底理解具体原因,只是大概知道几个点还是记下的,并未理解。 最后看到https://blog.csdn.net/qq_35978746/article/details/54944644算是明白了其中的道理; 总结下来就以下这麽几点: 1:# 自己会带有双引号,$并不会 2:${ } 变量的替换阶段是在动态 SQL 解析阶段,而 #{ }在动态解析...
ibatis中输入输出各种类型的参数分析及#与$区别
01-29
### ibatis中输入输出各种类型的参数分析及#与$区别 #### iBatis简介与特点 ...通过对参数类型、`#`与`$`的区别以及`namespace`和`resultMap`的理解,可以帮助开发者更好地利用iBatis框架构建高效稳定的数据库访问层。
MyBatis中#{}和${}的区别详解
halo0623的博客
01-09 268
首先看一下下面两个sql语句的区别: <select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap"> select id, username, password, role from user where username = #{user...
#和$的区别
01-06
Struts2 #,表达式语言的好处,Struts2 $,struts2 井号,星号,百分号
Java中#{}和${}的区别是什么?
LiJianGuo_Mr的博客
09-30 430
Java中#{}和${}的区别是什么? #{}是预编译处理,KaTeX parse error: Expected 'EOF', got '#' at position 22: …替换。 Mybatis 在处理#̲{}时,会将 sql 中的#{…{}时,就是把${}替换成变量的值
Java中 # 和 $区别
恒88888888的博客
08-08 3092
#和$的区别 #使用 ?在sql语句中作占位符, 使用PreparedStatement执行sql,效率高 #能够避免sql注入,更安全。 $不使用占位符,是字符串连接方式,使用Statement对象执行sql,效率低 $有sql注入的风险,缺乏安全性。 $可以替换表名或者列名 ...
java中"#"与"$"的区别
热门推荐
干饭两斤半
09-05 1万+
“#” 会生成 ? 占位符, $ 会直接拼接 sql 字符串 insert into 表 values(#{id} , #{username}, #{password }) insert into 表 values(?,?,?) insert into 表 values(${id} , '${username}', '${password }') insert into 表 values(1...
java中$与#的区别_Mybatis 中$与#的区别
weixin_34337134的博客
02-27 657
1 #是将传入的值当做字符串的形式eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'.2 $是将传入的数据直接显示生成sql语句eg:select id,name,age from student where i...
java中#{}和${}的区别
脑壳疼
09-06 9624
#{} 1.#{name} mybatis中使用它相当于占位符的用法,可以自动进行jdbc类型的属性转换,如果name的值是 mark则转换之后就是 'mark',它可以防止sql注入 2.#{dataSource.userName} 属于SPEL语法 给某个属性赋值时,dataSource是程序中已经注入存在的Bean容器, 则可以通过 @value(#{dataSource.userName}) 获取属性的值 ${} 1.${name} mybatis中使用它相当于不做单引号任何处理,...
JavaEE进阶】 #{}和${}
最新发布
m0_71731682的博客
01-27 2224
{}:预编译处理,${}:字符直接替换#{}可以防⽌SQL注⼊,${}存在SQL注⼊的⻛险,查询语句中,可以使⽤#{},推荐使⽤#{}但是⼀些场景,#{}不能完成,⽐如排序功能,表名,字段名作为参数时,这些情况需要使⽤${}模糊查询虽然${}可以完成,但因为存在SQL注⼊的问题,所以通常使⽤mysql内置函数concat来完成。
java中#{} 和 ${} 的区别?
qq_45688811的博客
10-10 1520
需要注意的是,默认情况下,占位符的值被视为字符串。在Spring和MyBatis等框架中,可以通过设置相关配置来指定占位符的默认类型或执行自定义类型转换逻辑。是Property Placeholder占位符,用于在Java应用程序中引用外部属性或配置项的值。是MyBatis框架中使用的占位符,也被称为参数占位符。是Spring框架中使用的占位符,也被称为属性占位符。来表示一个参数占位符,它将会在SQL执行时被替换为实际的参数值。是MyBatis中使用的参数占位符,用于在SQL语句中插入参数值。
mybatis中#{}与${}的区别
zgy_boke的博客
03-28 1969
面试碰到的问题总结如何: #{}: 表示一个占位符号,实现向PreparedStatement占位符中设置值(#{}表示一个占位符?) 自动进行从Java类型到JDBC类型的转换(因此#{}可以有效防止SQL注入). #{}可以接收简单类型或PO属性值,如果parameterType传输的是单个简单类型值,#{}花括号中可以是value或其它名称. ${}: 表示拼接SQL串,通过${}可...
MyBatis的#和$区别
04-08
MyBatis是一种Java持久化框架,它可以将SQL语句和Java代码进行分离,从而简化开发过程。它支持多种数据库,包括关系型数据库和NoSQL数据库,同时还提供了一些高级特性,如一级缓存、二级缓存、延迟加载等。MyBatis具有简单易用、灵活性高、性能优异等特点,已经成为Java开发中最受欢迎的持久化框架之一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值