SQL中# 与$ 的区别

最新推荐文章于 2024-01-23 14:59:48 发布
最新推荐文章于 2024-01-23 14:59:48 发布
阅读量329 收藏 1
点赞数 1
分类专栏: 数据库

转自:https://www.cnblogs.com/luohanguo/p/9122398.html

区别:

(1)#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是id,则解析成的sql为order by “id”。

(2)$将传入的数据直接显示生成在sql中。如:order by u s e r i d user_id userid,如果传入的值是id,则解析成的sql为order by id。

(3)#方式在很大程度上能够防止sql注入。

(4)$方式无法防止sql注入。

(5)$方式一般用于传入数据库对象,例如传入表名。(这里得注意SQL注入问题)

(6)一般能用#的就别用$。

ps:在使用mybatis中还遇到<![CDATA[]]>的用法,在该符号内的语句,将不会被当成字符串来处理,而是直接当成sql语句,比如要执行一个存储过程。

总结区别:#{} 传入值时,sql解析时,参数是带引号的,而${}穿入值,sql解析时,参数是不带引号的。

举个例子:

select * from ${table_Name} where name = #{name}

在这个例子中,如果表名为

user; delete user; –

则动态解析之后 sql 如下:

select * from user; delete user; – where name = ?;

–之后的语句被注释掉,而原本查询用户的语句变成了查询所有用户信息+删除用户表的语句,会对数据库造成致命损伤。

但是表名用参数传递进来的时候,只能使用 ${} 。这也提醒在这种用法中要小心sql注入的问题。

防止SQL注入方法:

首先,永远不要相信用户的输入。

(1)不使用SQL,考虑NoSQL。

(2)正则表达式,字符串过滤。

(3)参数绑定PreparedStatement。

(4)使用正则表达式过滤传入的参数。

(5)JSP中调用该函数检查是否包函非法字符或JSP页面判断代码。JSP参考JSP使用过滤器防止SQL注入

gghh2015
关注
专栏目录
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
Sql注入
m0_60715541的博客
12-04 2289
Sql注入是通过拼接sql查询语句,使Sql查询的时候发生歧义,导致攻击者可以查询数据库的全部信息​ 攻击对象是数据库。存在威胁:SQL注入漏洞对于数据安全的影响: sql注入防范 解决SQL注入问题的关键是对所有可能来自用户输入的数据进行严格的检查、对数据库配置使用最小权限原则。通常修复使用的方案有:代码层面: ​ 没有进行PDO预处理的SQL,在输入SQL语句进行执行的时候,web服务器自己拼凑SQL的时候有可能会把危险的SQL语句拼凑进去。但如果进行了PDO预处理的SQL,会让MYSQL自己
SQL 注入漏洞原理以及修复方法
最新发布
it知识分享 free for nothing..
01-23 1万+
SQL 注入漏洞原理以及修复方法
SQL注入的一些示例及解决SQL注入的方法
weixin_43618785的博客
03-09 8953
解决SQL注入的方法
13sql注入修复
技术骨干小李的博客
07-27 3031
sql注入修复思路
Mabitis的#与$符号区别及用法介绍
08-31
在MyBatis,`#`和`$`符号在SQL动态语句扮演着不同角色,它们的主要区别和用法如下: 一、`#`与`$`的区别 1. `#{}`:MyBatis将`#{}`视为PreparedStatement的参数标记符。当SQL语句的`#{}`被解析时,它会被...
浅谈mybatis的#和$的区别
09-02
在MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
浅谈Mybatis #和$区别以及原理
08-18
Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在Mybatis,#和$都是占位符,但是它们...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
在MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
SQL语句
silence_lu_的博客
08-01 441
区别: (1)#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是id,则解析成的sql为order by "id"。 (2)$将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是id,则解析成的sql为order by id。 (3)#方式在很大程度上能够防止sql注入。 (4)$...
SQL#与$的区别
weixin_47918681的博客
09-23 3606
一 、在这里用到了#{},使用#时: 1、用来传入参数,sql在解析的时候会加上” “,当成字符串来解析 ,如这里 role_id = “roleid”; 2、#{}能够很大程度上防止sql注入; 延伸: 1、用{roleId,jdbcType=INTEGER},那么sql在解析的时候值为roleId = roleId,执行时会报错; 2、${}方式无法防止sql注入; 3、$一般用入传入数据库对象,比如数据库表名; 4、能用#{}时尽量用#{}; 注意: mybaties排序时使用order by 动态参
sql注入实例分析
weixin_30624825的博客
07-23 3488
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执...
[极客大挑战 2019]LoveSQL
qq_37301470的博客
11-12 618
万能密码登录成功没有发现flag 判断藏在数据库里 check.php?username=1' or '1'='1&password=123456' or '1'='1 登陆成功返回的密码 7a2d6a8fd56b61a79bba61ee8f5ad02c 直接开始联合注入 check.php?username=1' union select 1,2,3%23&password=1 check.php?username=1' union select 1,2,database()%23&
【网络安全】SQL注入漏洞的修复建议
Yb528970805的博客
09-25 2080
修复SQL注入漏洞需要仔细过滤危险字符和使用参数化查询或预编译语句。这两种方法可以有效地保护您的应用程序免受SQL注入攻击的威胁。在编写代码时,请始终考虑安全性,以确保您的应用程序和用户的数据都得到充分的保护。如果你也需要学网络安全,成为一名白帽黑客,可以看这份2023年最详细最全面的教程资料合集内容【戳下文链接即可学习】自学网络安全(黑客)技术多长时间能达到就业的水平?t=N7T8自学网络安全(黑客)技术多长时间能达到就业的水平?
跨站脚本攻击XSS
weixin_45596492的博客
03-24 2645
漏洞描述 SQL注入是一种网络安全漏洞,允许攻击者干扰应用程序对其数据库的查询。它通常允许攻击者查看他们无权检索的数据,这可能包括属于其他用户的数据,或应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除这些数据,导致应用程序的内容或行为发生持续变化。 在某些情况下,攻击者可以升级SQL注入攻击,以破坏底层服务器或其他后端基础设施,或执行拒绝服务攻击。 漏洞影响 成功的SQL注入攻击会导致未经授权访问敏感数据,如密码、信用卡细节或个人用户信息。近年来,许多备受瞩目的数据泄露事件都是
最新SQL注入漏洞修复建议
MachineGunJoe666
10-27 411
多数CMS都采用过滤危险字符的方式,例如,用正则表达式匹配union、sleep、load_file等关键字。如果匹配到,则退出程序。使用PDO预编译语句时需要注意的是,不要将变量直接拼接到PDO语句,而是使用占位符进行数据库数据的增加、删除、修改、查询。示例代码如下:​​​​​​​。使用过滤的方式,可以在一定程度上防止出现SQL注入漏洞,但仍然存在被绕过的可能。常用的SQL注入漏洞的修复方法有两种。
sql#{}与${}的区别
weixin_72766348的博客
08-28 1155
{}
MyBatis之动态SQL、#与$的区别和结果映射
weixin_74268571的博客
08-24 3472
MyBatis动态SQL的概念与常用元素,三种模糊查询的方式以及#和$的区别,Mybatis的结果映射---resultType与resultMap的区别
Mybatis # 与$的区别
09-23
与传统的JDBC相比,Mybatis提供了更简洁、灵活的方式来执行SQL语句并映射数据到Java对象。 Mybatis的核心思想是将SQL语句与Java代码进行分离,通过使用XML或注解来描述SQL语句的编写和映射规则。这样可以使得SQL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值