Java #{}和${}区别

最新推荐文章于 2024-06-20 21:10:33 发布
最新推荐文章于 2024-06-20 21:10:33 发布
阅读量1.6k 收藏 11
点赞数 9
分类专栏: java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gcfffff/article/details/108157190
版权

Java #{}和${}区别

Mybatis中使用#{}可以防止sql注入

#{}: 表示一个占位符号,实现向PreparedStatement占位符中设置值(#{}表示一个占位符?),自动进行Java类型到JDBC类型的转换(因此#{}可以有效防止SQL注入).#{}可以接收简单类型或PO属性值,如果parameterType传输的是单个简单类型值,#{}花括号中可以是value或其它名称.

:表示拼接SQL串,通过:表示拼接SQL串,通过{}可将parameterType内容拼接在SQL中而不进行JDBC类型转换,可以接收简单类型或PO属性值,如果parameterType传输的是单个简单类型值,可以接收简单类型或PO属性值,如果parameterType传输的是单个简单类型值,{}花括号中只能是value.

虽然不能防止SQL注入,但有时不能防止SQL注入,但有时{}会非常方便(如order by排序,需要将列名通过参数传入SQL,则用ORDER BY ${column},使用#{}则无法实现此功能.

防止sql注入的原理:

先看下面用占位符来查询的一句话

String sql = “select * from administrator where adminname=?”;
psm = con.prepareStatement(sql);

String s_name =“zhangsan’ or ‘1’='1”;
psm.setString(1, s_name);

假设数据库表中并没有zhangsan这个用户名,

用plsql运行sql语句,可以查出来所有的用户名,但是在Java中并没有查出任何数据,这是为什么呢?

首先,setString()的源码中只有方法名字,并没有任何过程性处理,

那么答案肯定出现在

最低0.47元/天 解锁文章
java小白转大白
关注
  • 9
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java 枚举与类的区别
lishuangling21的博客
05-08 3746
定义:枚举是指一组固定常量组成合法值的类型 首先是固定常量,一组有限常量集,比如一年的四个季节,太阳系的行星。其次,枚举是一种特殊的类型,定义了自己的一些规则,这些规则是建立在类规则之上的,是一种 type。 性质:枚举是真正的 final,客户端不允许创建枚举类的实例,也不能对其进行拓展 Java 枚举本质上是 int 值。只能通过公有的静态 final 域为枚举类导出实例。 public
Java #{} 和 ${} 的含义及区别
故屿γ
11-30 5661
#{ } 表示一个占位符,向占位符输入参数,MyBatis 会自动进行 Java 类型和 jdbc 类型的转换,且不需要考虑参数的类型,以预编译的方式传入,可以有效的防止 SQL 注入,提高系统安全性。例如:传入字符串,MyBatis 最终拼接好的 SQL 就是参数两边加单引号。 ${ } 表示 SQL 的拼接,通过 ${ } 接收参数,将参数的内容不加任何修饰拼接在 SQL 中,以字符串替换方式 ${ } 替换成变量的值,可能存在 SQL 注入的安全隐患。在用于传入数据库对象,例如传入表...
JavaEE进阶】 #{}和${}
m0_71731682的博客
01-27 2053
{}:预编译处理,${}:字符直接替换#{}可以防⽌SQL注⼊,${}存在SQL注⼊的⻛险,查询语句中,可以使⽤#{},推荐使⽤#{}但是⼀些场景,#{}不能完成,⽐如排序功能,表名,字段名作为参数时,这些情况需要使⽤${}模糊查询虽然${}可以完成,但因为存在SQL注⼊的问题,所以通常使⽤mysql内置函数concat来完成。
#{} 和 ${} 的区别JAVA
最新发布
weixin_63356609的博客
06-20 924
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
java正则表达式匹配替换大括号变量${}和替换${}变量的值
shy_snow的专栏
03-09 8677
java正则表达式替换“$ {}”特殊字符并还原,以及java正则表达式替换${}变量为变量的值这两种操作的代码示例。"(\\$\\{(.+?)\\})" 特殊字符匹配时要转义。正则表达式(regular expression)描述了一种字符串匹配的模式,可以用来检查一个串是否含有某种子串、将匹配的子串做替换或者从某个串中取出符合某个条件的子串等。
Java)#{}与${}的区别
热爱技术,热爱生活!
12-09 1684
区别 1.#{}解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个#{ }被解析为一个参数占位符;而${}仅仅为一个纯碎的 string 替换,在动态SQL 解析阶段将会进行变量替换。 #{}解析之后会将String类型的数据自动加上引号,其他数据类型不会;而${}解析之后是什么就是什么,他不会当做字符串处理。 #{}很大程度上可以防止SQL注入(SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作);而${}主要用于S.
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
Java Mybatis中的 ${ } 和 #{ }的区别使用详解
08-18
Java Mybatis中的 ${ } 和 #{ } 的区别使用详解 Java Mybatis 中的 ${ } 和 #{ } 是两个不同的占位符,都是用于在 Mybatis 中进行动态 SQL 语句的构建和参数传递。然而,这两个占位符在使用时有着极其重要的区别。 ...
浅谈mybatis中的#和$的区别 以及防止sql注入的方法
09-01
在MyBatis中,`#`和`$`在动态SQL中的使用有着明显的区别,它们在处理传入数据的方式上有所不同,同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
详谈java中boolean和Boolean的区别
08-31
Java 中 boolean 和 Boolean 的区别详解 作为一名 Java 开发者,了解 boolean 和 Boolean 的区别是非常重要的。本文将详细介绍 Java 中 boolean 和 Boolean 的区别,帮助读者更好地理解和使用这两种数据类型。 ...
详解Mybatis中的 ${} 和 #{}区别与用法
08-18
Mybatis中的 ${} 和 #{}区别与用法详解 Mybatis 是一个基于 Java 的持久层框架,它提供了一个简单的方式来进行数据库操作。在 Mybatis 中,使用 ${} 和 #{} 两种方式来传递参数,但它们之间有着很大的区别。 ${} ...
java中$_java中字符串参数化符号${}的解析
weixin_32534669的博客
02-12 1566
前言我们在很多地方都能看到代表参数意义的符号${},可能我们在写一些框架的时候,有时候也需要用到这个符号,但他们是如何精确解析的?或者说需要我们自已写的时候,如何写?我们先来看以下的几个场景:1.字符串"a${a}a"2.字符串"a\${a}a"3.字符串"a${a\}a"4.字符串"a${a\}a}a"5.字符串"a${a}a${"6.字符串"a${a}a${a}"以上几个字符串中,基本上包括了...
Java 中 #{}和${}的区别是什么?
qq_41806546的博客
04-03 3684
#{}是预编译处理,${}是字符串替换。 Mybatis 在处理#{}时,会将 sql 中的#{}替换为?号,调用 PreparedStatement 的 set 方法来赋值; Mybatis 在处理时,就是把{}时,就是把时,就是把{}替换成变量的值。 使用#{}可以有效的防止 SQL 注入,提高系统安全性。 ...
学成day2(java接口可含内容,#{}和${},全局异常处理,JSR303校验表单
qq_51580161的博客
02-25 129
Contoller中校验请求参数的合法性,包括:必填项校验,数据格式校验,比如:是否是符合一定的日期格式,等。静态私有方法:private static 返回值类型 方法名称(参数列表){方法体}格式:[public] default 返回值类型 方法名称(参数列表){方法体}格式:[public] [abstract] 返回值类型 方法名称(参数列表);格式:[public] static 返回值类型 方法名称(参数列表){方法体}普通私有方法:private 返回值类型 方法名称(参数列表){方法体}
java中#{} 和 ${} 的区别?
qq_45688811的博客
10-10 1200
需要注意的是,默认情况下,占位符的值被视为字符串。在Spring和MyBatis等框架中,可以通过设置相关配置来指定占位符的默认类型或执行自定义类型转换逻辑。是Property Placeholder占位符,用于在Java应用程序中引用外部属性或配置项的值。是MyBatis框架中使用的占位符,也被称为参数占位符。是Spring框架中使用的占位符,也被称为属性占位符。来表示一个参数占位符,它将会在SQL执行时被替换为实际的参数值。是MyBatis中使用的参数占位符,用于在SQL语句中插入参数值。
java $和$$的区别_Mabitis中的#与$符号区别及用法介绍
weixin_34748612的博客
02-15 393
一、介绍mybatis 中使用 Mapper.xml里面的配置进行 sql 查询,经常需要动态传递参数,例如我们需要根据用户的姓名来筛选用户时,sql 如下:select * from user where name = "Jack";上述 sql 中,我们希望 name 后的参数 "Jack" 是动态可变的,即不同的时刻根据不同的姓名来查询用户。在 Mapper.xml文件中使用如下的 sql ...
java中"#"与"$"的区别
热门推荐
干饭两斤半
09-05 1万+
“#” 会生成 ? 占位符, $ 会直接拼接 sql 字符串 insert into 表 values(#{id} , #{username}, #{password }) insert into 表 values(?,?,?) insert into 表 values(${id} , '${username}', '${password }') insert into 表 values(1...
MyBatis的#和$区别
04-08
MyBatis是一种Java持久化框架,它可以将SQL语句和Java代码进行分离,从而简化开发过程。它支持多种数据库,包括关系型数据库和NoSQL数据库,同时还提供了一些高级特性,如一级缓存、二级缓存、延迟加载等。MyBatis...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值