Mybatis的#{}占位符与${}字符串替换的区别

最新推荐文章于 2023-04-23 17:34:19 发布
最新推荐文章于 2023-04-23 17:34:19 发布
阅读量1.5k 收藏 5
点赞数
分类专栏: Mybatis 文章标签: 预编译处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzxlfly/article/details/105908033
版权

1、#{}是预编译处理,$ {}是字符串替换

(1)#{} 表示一个占位符,采用preparedStatement给占位符设置值,自动进行java类型和jdbc类型转换,进行预编译处理,#{}可以有效防止sql注入(预编译是提前对SQL语句进行编译,而其后注入的参数将不会再进行编译)

(2)${} 表示字符串替换,通过${}可以将parameterType或实体 传入的内容拼接在sql中且不进行jdbc类型转换

(3)举例说明二者区别,现在有如下SQL:

select count(1) from user where user_name = #{userName} and password = #{password}

使用#{}时,会进行jdbc类型转换,根据属性 自动加上单引号

select count(1) from user where user_name = 'admin' and password = '123456';

而${}不会进行jdbc类型转换,只是简单的替换, 显然有语法错误,但是可以利用其进行sql注入

select count(1) from user where user_name = admin and password = 123456;

2、SQL注入举例离说明

SQL注入就是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库执行一些恶意的操作。比如说,在登录过程中,利用上面的语句到数据库中查找用户名/密码是否存在,如果存在就登录成功,如果不存在就登录失败。

若使用${},恶意用户在表单中的用户名文本框中输入的是'admin',密码框中输入的是 ' ' or 1 = 1 加了一引号和一个恒成立的条件,那么,传到数据库中的sql就是:

select count(1) from user where user_name = 'admin' and user_password = ' ' or 1=1

登录成功,该恶意用户是可以登录系统的! 这就是SQL注入,恶意攻击

而如果使用#{}是不会出现这种情况的,#{}默认会给输入的值加上引号,密码错误,登录失败

select count(1) from user where user_name = ''admin'' and user_password ='' ' or 1=1'

3、既然有了#{}为什么还需要${}

#{}并不适用一些其他场景,比如要根据参数名动态排序,需要传入的参数是字段名,使用#{} 被解析成order by 'age' ,显然达不到排序目的。而此时就用到了${}进行字符串替换操作,即sql解析成 order by age

Relian哈哈
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于 Mybatis ${} 字符串替换时机的代码分析
a987456321z的专栏
03-26 556
1. MappedStatement#getBoundSql 2. 进入 DynamicSqlSource 3. 在 TextSqlNode#apply 方法中 4. ${table}变量替换
Mybatis日志参数快速替换占位符工具的详细步骤
08-18
主要介绍了Mybatis日志参数快速替换占位符工具的详细步骤,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Mybatis学习笔记:#{}占位符与${}字符串替换区别
山鬼谣的专栏
03-22 1405
1、#{}是预编译处理,$ {}是字符串替换 (1)#{} 表示一个占位符,采用preparedStatement给占位符设置值,自动进行java类型和jdbc类型转换,进行预编译处理,#{}可以有效防止sql注入(预编译是提前对SQL语句进行编译,而其后注入的参数将不会再进行编译) (2)${} 表示字符串替换,通过${}可以将parameterType或实体 传入的内容拼接在sql中且不进行jdbc类型转换 举例说明二者区别,现在有如下SQL: select count(1) from user whe
Mybatis
qq_42682065的博客
06-25 178
##
${}里面放置字符串变量是什么意思
qq_42449963的博客
09-17 1403
这个是JS语法,叫做“模板字符串” 这种语法是能够允许嵌入表达式的字符串字面量 模板字符串使用反引号 () 来代替普通字符串中的用双引号和单引号。模板字符串可以包含特定语法(${expression})的占位符占位符中的表达式和周围的文本会一起传递给一个默认函数,该函数负责将所有的部分连接起来,如果一个模板字符串由表达式开头,则该字符串被称为带标签的模板字符串,该表达式通常是一个函数,它会在模板字符串处理后被调用,在输出最终结果前,你都可以通过该函数来对模板字符串进行操作处理。在模版字符串内使用反引号(`
mybatis #{}和${}的区别是什么
weixin_30895603的博客
04-16 1601
#{}和${}的区别是什么?正确的答案是:#{}是预编译处理,${}是字符串替换。(1)mybatis处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值。(2)mybatis处理${}时,就是把${}替换成变量的值。(3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输...
Mybatis之#{}与${}的区别使用详解
08-19
${}是Mybatis中的一种字符串替换符,用于将参数传递给SQL语句。在SQL语句中,${}将被直接替换为参数的值。例如,在以下示例代码中,${}将被直接替换为参数的值: ```sql select * from t_order_${createYM} WHERE...
浅谈Mybatis #和$区别以及原理
08-18
Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别Mybatis中,#和$都是占位符,但是它们...
java字符串中${}或者{}等的占位符替换工具类
08-26
Java字符串中${}或者{}等占位符替换工具类 Java字符串中${}或者{}等占位符替换工具类是一个功能强大且实用的工具类,它可以将Java字符串中的占位符依次替换为指定的值。该工具类的主要功能是实现占位符替换,即将...
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis预编译参数占位...
浅谈mybatis中的#和$的区别
09-02
MyBatis中,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
MyBatis中#{}和${}的区别详解
09-01
相比之下,`${}`则是字符串替换的方式,它会将传入的值直接插入到SQL语句中,不做任何处理。例如`ORDER BY ${columnName}`,MyBatis会将${columnName}替换为实际的列名。这种方式在处理动态表名或列名时非常有用,但...
MyBatis中#号与美元符号的区别
08-31
相反,`${变量名}`是简单的字符串替换,它不会进行预编译或类型匹配。例如,`select * from tablename where id = ${id}`,这里的${id}会直接将变量的值插入到SQL语句中,如果字段id为字符型,而输入的id是整型,...
Java Mybatis中的 ${ } 和 #{ }的区别使用详解
08-18
而当我们使用 ${ } 占位符时,Mybatis 则会将其作为一个字符串替换,例如: ```sql select * from user where name = '${name}'; ``` 在字符串替换阶段,${name} 会被替换成我们传入的参数,变成: ```sql select...
浅谈mybatis中的#和$的区别 以及防止sql注入的方法
09-01
MyBatis中,`#`和`$`在动态SQL中的使用有着明显的区别,它们在处理传入数据的方式上有所不同,同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
#{}和${}的区别
ranran_fish的博客
04-23 92
在使用mybatis的时候我们会使用到#{}和${}这两个符号来为sql语句传参数,那么这两者有什么区别呢?{}没有这个功能,可以是sql手动拼接的,这里前后逻辑可能并不严密,但是sql入去最简单的例子就是这样。显然这条sql没问题可以查出来,但是如果有人不知道密码但是想登录账号怎么办?我们不需要填写正确的密码:密码输入1 or 1=1,sql执行的其实是。⚠️注意:这里的yyy外面的单引号不是。这是一条用户的账号、密码数据。
mybatis中test条件中单引号双引号问题
小生的博客
03-04 3370
mybatis中test判断条件中使用单引号会报错 通常使用双引号 通常test后的判断条件写在双引号内,但是当条件中判断使用字符串时应该如下方式开发 <when test=“channel ==null” > <when test='channel =="QT"' > 具体原因为单引号会被mybatis默认为字符类型,若为单字符可以使用单引号。否则会报错。 ...
MyBatis中#{}与${}的区别
夏夏
06-23 1249
1、#{}是预编译处理,${}是字符串替换 2.MyBatis处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值 而在处理${}时,是把${}替换为变量的值。 3.使用#{}可以有效地防止SQL注入,提高系统安全性;因为一个#{}被解析为一个参数占位符,而${}仅仅为一个纯粹的String替换。 使用注意: 但是在mybatis排序使用order by 动态传参时,使用${}而不用#{}. ...
${} 与 #{} 的区别
轻描淡写
09-11 867
#{}是预编译处理,$ {}是字符串替换(当做占位符来用)。 mybatis处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值; mybatis处理 $ {} 时,就是把 ${} 替换成变量的值。 使用 #{} 可以有效的防止SQL注入,提高系统安全性。SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行...
mybatis #{} 和 ${} 的区别
最新发布
09-22
Mybatis中的#{}和${}是用于动态SQL的两种不同的占位符语法。 1. #{}:这是Mybatis中的预编译语法,表示将参数值作为一个占位符来使用。使用#{}可以避免SQL注入的风险。在SQL被预编译之后,#{}中的参数值会通过JDBC...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值