mybatis #{} 和${} 使用场景及相关注意事项

最新推荐文章于 2023-06-15 08:39:03 发布
最新推荐文章于 2023-06-15 08:39:03 发布
阅读量599 收藏
点赞数
分类专栏: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiangwudidebaba/article/details/102391411
版权
  1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”.
  2. $将传入的数据直接显示生成在sql中。如:order by u s e r i d user_id userid,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sql为order by id.
  3. #方式能够很大程度防止sql注入。
      
    4.$方式无法防止Sql注入。

5.KaTeX parse error: Expected 'EOF', got '#' at position 32: …传入表名.    6.一般能用#̲的就别用.

MyBatis排序时使用order by 动态参数时需要注意,用$而不是#

字符串替换
默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用:
ORDER BY ${columnName}
这里MyBatis不会修改或转义字符串。

重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。

江君是实在人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.txt|Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.txt
09-05
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么答案 Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么答案
mybatis中的#和$的区别
qq_32619291的博客
08-09 294
“#”将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”. 将传入的数据直接显示生成在sql中。如:orderby将传入的数据直接显示生成在sql中。如:order by user_id$,如果传入的值是1
Mybatis使用${}和使用#{}
m0_67402564的博客
03-22 936
Mybatis中${}和#{}的区别 1、使用#{} 2、使用${} 3、总结 印象中一直认为使用Mybatis肯定能防止sql注入,前两天才发现我太天真了。防止sql注入也是有条件的,这我们就要了解下Mybatis中${}和#{}的使用了。 1、使用#{} Mybatis在对#{}进行预处理时,会把#{}处理成占位符,实际执行的时候才会把参数替换进去,相当于jdbc的PreparedStatement。 <select id="select" parameterType="jav
彻底搞懂MyBatis中${}和#{}
qq_63815371的博客
01-12 1125
目录 一、搭建模拟场景 二、SQL注入问题 三、#{}和${}的区别 四、#{}底层是如何防止SQL注入的? 五、那么问题来了:什么时候用#{},什么时候用${}呢? 一、搭建模拟场景 数据库数据 DAO接口 Mapper.xml 执行测试代码 package com.luck.bookstore.ware; import ... @RunWith(SpringRunner.class) @SpringBootTest public class Bo
Mybatis 中 $ 和 #千万不要乱用
嘻哈熊的专栏
03-13 1013
开头 这是一次代码优化过程中发现的问题,在功能优化后发现部分数据查不到出来了,问题就在于一条 sql 上的 #和 $。 下图为两条 sql: 从图上可以看出 wwlr.LabelId in(${showLabels}) 和 wwlr.LabelId in(#{showLabels}),其中 showLabels 是传进来一个字符串类型的参数,参数的样子是这样的 “4,44,514”,问题就出在这个参数传进来后 #和 $ 处理的方式是不一样的。 区别 1、#{} 是预编译处理,MyBatis 在处理 #{}
MyBatis中的#{}和${}的用法
heliuerya的博客
06-15 2464
在实际开发中有些数据量非常大,需要分表存储,然后分表查询,比如:日志信息表基本上是每天一张表,现有多张日志信息表:log_20230101、log_20230102、log_20230103…比如:在查询某班全体学生并按照姓名按照升序/降序排列的sql语句中,当需要传入关键字asc"或"desc"的时候需要使用${}而不能使用#{},像这种需要传入。先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。的sql语句需要使用${},其它情况需要使用#{},用来防止出现sql注入现象。
浅谈Mybatis #和$区别以及原理
08-18
主要介绍了浅谈Mybatis #和$区别以及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
主要介绍了Mybatis中#{}和${}传参的区别及#和$的区别小结 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
浅谈mybatis中的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis中的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
Mybatis下动态sql中##和$$的区别讲解
08-26
今天小编就为大家分享一篇关于Mybatis下动态sql中##和$$的区别讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
Mybatis详解(二)Mybatis XML方式的基本用法
川子的博客
08-29 1493
1、使用XML方式 MyBatis的真正强大之处在于它的映射语句,由于他的映射语句异常强大,映射器的XML文件就显得相对简单。而MyBatis3.0相比2.0版本的一个最大变化,就是支持使用接口的来调用方法。 我们使用的是SqlSession通过命名空间调用MyBatis方法,我们需要用到命名空间和方法id组成的字符串来调用相应的方法。而当参数多于1个的时候,需要将参数放到一个Map对象中。...
记录#{}和${}在mybatis中的坑
new____object的博客
01-11 1613
前两天写sql语句的时候出现了一个坑,花了我好久的时间。事情是这样的,我在sql语句中写#{}去取java代码传过来的值,查不出来数据,一条都没有。但是我在xml文件中把值固定死是可以查的到的。 那么问题来了?是我的值没传过来吗?并不是!因为控制台看得到 我的值已经传过来了。那这…让人摸不着头脑了哎!不符合逻辑呀~然后我又尝试着用${}去取值,本来只是写着玩,没想到居然查出来了!!!这…这谁顶得住!本来都准备背书包溜了溜了的。硬忍住了。 然后我去看了数据库里面的数据,发现都是char类型,而且长度是97。选
关于Mybatis查询的时候有些字段为空的情况解决
Charles__ma的博客
10-29 4952
项目场景: 提示:这里简述项目相关背景: 例如:项目场景:示例:通过蓝牙芯片(HC-05)与手机 APP 通信,每隔 5s 传输一批传感器数据(不是很大) 问题描述: 提示:这里描述项目中遇到的问题: 例如:数据传输过程中数据不时出现丢失的情况,偶尔会丢失一部分数据 APP 中接收数据代码: @Override public void run() { bytes = mmInStream.read(buffer); mHandler.obtainMessage(READ_DATA, bytes,
关于MyBatis传值出现空值的一种解决方法
weixin_64892695的博客
02-21 1080
当写玩查询方法时,运行后缺出现获取的值为null的情况,针对这种情况的其中一个解决方法就是看你的实体类的命名规范,必须使用驼峰命名法,并且不能两个字母同时大写.... 比如这种命名方式会使他在编译的时候将首个字母大写变成UName,导致编译不成,最后拿了个null。 将他重新改回来或者在第一个字母后面搁一个字母然后用驼峰命名法就可以运行成功拿到数据库里面的值了 ...
MyBatis 参数允许为空的异常解决方案
zhulx_sz 的博客
06-21 9978
MyBatis 参数允许为空的异常解决方案······
mybatis——格式化导致的空格问题】
展翅的雄鹰
03-21 609
mybatis 空格
mybatis中的空格
热门推荐
xuqi1029的博客
03-30 1万+
mybatis中的xml会使用到很多的 if 判断 当我们判断一个 传递过来的参数是否是空或者,是否是null的时候,然后再进行数据的处理,这时候往往需要用到判断,这样我们的写的时候就往往有一个错位的写法 例如 从上面的语句我们能看出来说判断name不等于null 并且name不等于空 ,看上去我们的代码写的没有问题,这时候仔细观察,还是没有看出问题,当我们是用的是就会报一个错误,说是
mybatis #{} 和${}使用场景
最新发布
08-24
MyBatis中,#{}和${}是两种不同的占位符使用方式。 #{}用于传递参数,它会将传递的参数值安全地替换到SQL语句中,以防止SQL注入攻击。在SQL执行过程中,#{}会将参数值进行预编译处理,生成一个占位符,并使用PreparedStatement对象来执行SQL语句,这样可以提高执行效率。因此,#{}在编写动态SQL时是更安全和推荐的方式。 ${}则是直接将参数值拼接到SQL语句中,没有经过预编译处理。这种方式适用于一些特殊情况,比如在表名、列名等需要动态拼接的地方。但是,由于没有预编译处理,可能存在SQL注入的风险,所以在使用${}时需要特别小心,确保传递的参数是可信的。 综上所述,#{}和${}的使用场景可以总结如下: - 使用#{}时,适用于传递参数的情况,可以提高SQL执行效率,并且避免SQL注入攻击。 - 使用${}时,适用于一些需要动态拼接的场景,但需要注意防止SQL注入,确保传递的参数是可信的。 <span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Mybatis #和$获取参数值的区别以及@param的使用场景](https://blog.csdn.net/Tom098/article/details/103381901)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [Mybatis中#和$的区别](https://blog.csdn.net/m0_52388979/article/details/125720091)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值