Mybatis中的#{}与${}区别以及什么是SQL注入

最新推荐文章于 2024-05-26 16:37:28 发布
最新推荐文章于 2024-05-26 16:37:28 发布
阅读量2.9k 收藏 18
点赞数 10
分类专栏: Mybatis 文章标签: Mybatis#{}与${} #{}与${} SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lu0422/article/details/79650805
版权

今天搞懂了一个问题,就是在使用Mybatis时#{}与${}到底有什么区别?原来也看过别人的博客,感觉总是迷迷糊糊(原谅我是菜鸟),今天把这个问题整理了一遍,水平有限,各位大佬如果发现错误的地方请指正

1,首先Mybatis中的#{}与${}到底有什么区别?

其实,区别就是如果使用#{},会将{}里面的传入的值自动解析成为带引号的值,比如:

select count(1) from t_user where user_name = #{userName} and user_password  = #{userPassword}

假如,此时传入userName传入的值为admin,userPassword传入的值为123456,那么最后的sql就是:

select count(1) from t_user where user_name = 'admin' and user_password  = '123456';

会解析成字符串,而${}就会这样解析:

select count(1) from t_user where user_name = admin and user_password  = 123456;

显然,这是一个错误的sql语句,那么,什么叫SQL注入呢?为什么#{}可以有效的防止sql注入呢?

2,什么是SQL注入?

SQL注入就是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库执行一些恶意的操作

比如说,在登录过程中,利用上面的语句到数据库中查找用户名/密码是否存在,如果存在就登录成功

而如果不存在就登录失败,如果说你后台使用的是${},恶意用户在表单中的用户名文本框中输入的是'admin'

密码框中输入的是' ' or 1 = 1 加了一引号和一个恒成立的条件,那么,传到数据库中的sql就是:

select count(1) from t_user where user_name = 'admin' and user_password = ' ' or 1=1

如果程序没有做其他的校验,此时,该恶意用户是可以登录系统的! 这就是SQL注入,恶意攻击

而如果使用#{}是不会出现这种情况的,#{}默认会给输入的值加上引号,但是使用#{}在其他场景下并不适用

比如要使用到排序 order by #{} 传入的参数应是表对应字段名,但是加上引号后就会解析成

order by 'age' 这样就达不到排序的目的,而此时如果使用${}就可以达到排序的目的

即,sql解析成 order by age,根据age排序




只是了解皮毛,欢迎大佬们指教!



一天进步一点点lgh
关注
  • 10
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
浅谈mybatis的#和$的区别 以及防止sql注入的方法
09-01
下面小编就为大家带来一篇浅谈mybatis的#和$的区别 以及防止sql注入的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助...综上所得,在Mybatis下动态sql##和$$的区别是非常重要的,correctly使用#{ }和${ }可以避免SQL注入问题,并提高应用程序的安全性。
Mybatis的${}和#{}区别
m0_62520968的博客
05-10 1402
一、${}与#{}的区别 1、符号类型 (1)#{}:参数占位符,即预编译 (2)${} :字符串替换符,即SQL拼接 2、防注入问题 (1)#{}:很大程度上能防止sql 注入 (2)${}:不能防止sql 注入 3、参数替换位置 DBMS:数据库管理系统(Database Management System)是一种操纵和管理数据库的大型软件,是用于建立、使用和维护数据库,简称DBMS。它对数据库进行统一的管理和控制,以保证数据库的安全性和完整性。用户通过DBMS访问数据库的数据,数据库管理员也通
MyBatis详细教程!!(入门版)
最新发布
ii804070359的博客
05-26 778
MyBatis是一款持久层框架,用于简化JDBC开发持久层:持久化操作的层,通常指数据访问层(DAO),是用来操作数据库的。
MyBatis #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1214
1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
mybatis#和$的区别sql注入问题
weixin_44130574的博客
08-26 194
mybatis#和$的区别 推荐能使用#就不要使用 $ #{ } 1.相当于JDBC的PreparedStatement ,是经过预编译的,安全 2.会为参数自动拼接引号 3.执行sql效果 select * from user where uid="1" and username="cathy" ${ } 1.相当于JDBC的Statement ,未经过预编译,非安全,存在sql注入危险 2.并不会给参数自动拼接引号 3.执行sql效果 select * from user where uid
mybatis的#{}和${}
submorino的专栏
11-25 2401
mybatis的#{}和${} 1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1)   1)#{}为参数占位符?,即sql 预编译   2)${}为字符串替换,即sql 拼接 (2)   1)#{}:动态解析 ->预编译-> 执行   2)${}:动态解析 ->编译-> 执行 (3)   1)#{}的变量替换是在DBMS   2)${}...
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Mybatis -- #{} 与${}
qq_39273039的博客
08-14 1234
Mybatis的Mapper.xml语句parameterType向SQL语句传参有两种方式: #{} 和 ${} #{} 一般解说是因为这种方式可以防止SQL注入,简单的说#{}这种方式SQL语句是经过预编译的,它是把#{}间的参数转义成字符串 select * from student where student_name = #{name} 预编译后,会动态解析成一个参数标记符?: select * from student where student_name = ? ${} 在动态解析时
MyBatis ${}和 #{}的正确使用方法(千万不要乱用)
08-18
主要介绍了MyBatis ${}和 #{}的正确使用方法,本文给大家提到了MyBatis ${}和 #{}的区别,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
一文解惑mybatis的#{}和${}
一个菜鸡的博客
07-19 4729
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
mybatis获取参数时 #{ }和${ }的区别
HC_JAVA崽
05-19 227
mybatis操作数据库的时候,往往会出现参数获取不到,或者报异常的问题 #{ } 和 ${ } 的区别 (1) ${ } :底层其实是statement,必须是使用 “字符串拼接” 的方式操作sql,所以,一定要注意 “单引号” 的使用。并且,不会防止 “sql注入” (2) #{ }:底层是preparedStatement,可以使用 “通配符” 操作sql,可以自动添加 “单引号”,不需要注意单引号问题。可以防止 “sql注入”。 获取参数的区别 (1) 如果传进的参数是 string、基本
myBatis#{}和${}传参的区别
一天过去不会再来
04-19 835
#{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #{id},如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”。${}将传入的数据直接显示生成在sql。如:order by ${id},如果传入的值是111,那么解析成sql时的值为order by 111, 如果...
Mybatis面试题:什么是SQL注入
weixin_44844089的博客
04-21 333
概念 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 举例 ...
MyBatis-#{}和${}的区别
weixin_43472934的博客
08-05 167
OGNL语言 在MyBatis框架支持两种 OGNL语法 #{} ${} 第一种情况对比:添加数据 #{} --UserMapper.java @Insert("insert into user(username,password,age) values(#{username},#{password},#{age})") @Options(useGeneratedKeys = true,keyColumn = "id",keyProperty = "id") int insertUserInfo(U
MyBatis #{}和${}的区别
Stephen
08-07 445
#{} 是预编译处理 ${} 是字符串替换 参考原文跳转
mybatis#和$的区别
05-31
MyBatis,#和$都是用来表示SQL语句的参数占位符,它们的主要区别在于参数的处理方式。 1. #表示的是预编译的SQL语句的占位符,预编译可以防止SQL注入攻击,提高了SQL语句的安全性。同时,#会将参数值以字符...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值