sql映射文件中#{}和${}两者之间有什么区别

已于 2023-09-24 13:17:12 修改
阅读量432 收藏 1
点赞数
文章标签: 数据库
于 2023-09-24 13:12:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46639782/article/details/133238061
版权

在MyBatis的SQL映射文件中,#{} 和 ${} 是两种用于插入变量值的方式。

1. #{}(预编译参数):(底层使用PrepareStatement)

    #{} 用于表示一个占位符,通常用于传递参数给SQL语句,这些参数会被MyBatis框架安全地转义和处理,以防止SQL注入攻击。

    #{} 会将参数值替换成一个占位符,并自动进行适当的转义和类型处理。这使得SQL语句更加安全,并且避免了潜在的安全风险。

<!-- 使用 #{userId} 占位符,会自动进行参数转义和类型处理 -->
SELECT * FROM users WHERE id = #{userId}

   如果传递 userId 参数的值为 1,MyBatis会将上述SQL语句转换为:

SELECT * FROM users WHERE id = 1

2. ${}(字符串替换):(底层使用Statement)

    ${} 用于字符串替换,它会将${}包裹的内容替换成参数的实际值,但不会进行转义或类型处理。

    使用${}时,你需要确保传递的参数值是安全的,以防止潜在的SQL注入攻击。因为参数值会直接插入到SQL语句中,不会受到额外的处理。

<!-- 使用 ${userId} 进行字符串替换,不会进行参数转义 -->
SELECT * FROM users WHERE id = ${userId}

   如果传递 userId 参数的值为 1,MyBatis会将上述SQL语句直接替换为:

SELECT * FROM users WHERE id = 1

总结:

 使用 #{} 更安全,因为它会自动进行参数转义和类型处理,可以有效防止SQL注入攻击。

 使用 ${} 时需要格外小心,确保传递的参数值是受信任和安全的,以避免潜在的风险。

 一般情况下,建议使用 #{},特别是在接受用户输入的参数时.

HeartSunShine
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Mybatis下动态sql##和$$的区别讲解
08-26
今天小编就为大家分享一篇关于Mybatis下动态sql##和$$的区别讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
MybatisPlus #{param}和${param}的用法详解
09-08
在 MybatisPlus ,当我们编写接口 mapper 方法或者 XML 映射文件时,常常会遇到 #{param} 和 ${param} 这两种参数引用方式。它们之间的主要区别在于 SQL 预编译处理和安全性。 首先,#{param} 是 MybatisPlus ...
sql语句 #{}与${}的用法
cmjimmy的博客
08-24 2万+
1介绍 测试 ${} 在没有特殊要求情况下,通常我们使用#{}占位符,有些情况下必须使用${}了解即可 例如:需要动态拼接表名. 下面是模糊查询的应用#{}与${} 下面是错误的使用#{} 下面是正确的方式使用#{}模糊查询 掌握. ...
sql语句的符号】(通配符+#{}+${})
灵活的小胖子
08-17 9080
背景:别人写的代码,由于数据库添加了一个is_delete(0:未删除;1:已删除)字段用来做假删除,大家都知道,如果说一条数据删除了,那么肯定是不能查出来的了,因此,我的任务就是修改由于添加一个字段而引发的灾难。 问题: 我们的sql: select i.id, i.project_id, i.sets, i.name, i.length, i.likes, i.url, i.type, p.project_name from
一些特殊SQL使用Mybatis的#{}和${}注意点
神笔码农.的博客
10-18 2068
Mybatis对JDBC进行了进一步封装,使得我们可以更加便捷的使用Java操作数据库。#{}和${}在大部分情况下,#{}和${}都能相互替代,使用两者之一即可,更加推荐使用#{},因为可以防止SQL注入问题,但是由于#{}和${}本质上的不同,部分SQL语句使用#{}和${}需要格外注意。
彻底搞懂MyBaits#{}和${}的区别
热门推荐
緑水長流*z
07-11 2万+
MyBatis的`#{}`之所以能够预防SQL注入是因为底层使用了`PreparedStatement`类的`setString()`方法来设置参数,此方法会获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则会在前面加上一个`'/'`代表转义此符号,让其变为一个普通的字符串,不参与SQL语句的生成,达到防止SQL注入的效果。 **其次`${}`本身设计的初衷就是为了参与SQL语句的语法生成**,自然而然会导致SQL注入的问题(不会考虑字符过滤问题)。
${}和#{}的区别以及${}的sql注入问题
acsfvsv的博客
10-15 1104
最近看到了这个问题,然后深入了解了一下这个sql 的注入问题,本片文章将会介绍他们的区别以及sql注入问题。
根据配置对比sqlserver和sqlce之间的数据差异
08-07
标题的“根据配置对比sqlserver和sqlce之间的数据差异”是指在不同的数据库环境下,通过配置文件来连接数据库并比较它们在处理数据时的区别。这里主要涉及两种数据库管理系统:SQL Server和SQL Compact Edition...
hibernate配置文件以及类映射文件常用写法1
08-08
本文将深入探讨Hibernate的配置文件和类映射文件的常用写法,帮助开发者更好地理解和应用Hibernate。 首先,我们来看`Hibernate.cfg.xml`配置文件,它是Hibernate应用的核心配置,包含了数据库连接、方言、自动建表...
百万级数据在Excel和Sql数据库之间相互导入、导出
08-02
在IT行业,处理大量...总的来说,正确地在Excel和SQL Server之间导入导出百万级数据需要理解两者的特点,选择合适的方法,并注意数据处理的最佳实践。在实际操作,应根据具体需求和资源限制来选择最适合的方案。
在Java的Hibernate框架使用SQL语句的简单介绍
09-02
在Java的Hibernate框架,使用SQL语句是一个常见的需求,特别是在处理特定的数据库操作或...无论是直接在代码编写SQL,还是通过配置文件定义,Hibernate都提供了方便的方式来整合两者,以满足各种开发场景的需求。
sql#{}与${}的区别
weixin_72766348的博客
08-28 990
{}
03-映射文件sql语句 #{} 和 ${} 的区别以及实现模糊查询
qq_35885612的博客
01-29 463
映射文件sql语句 #{} 和 ${} 区别以及实现模糊查询 sql 语句的 #{} #{} 模糊查询错误用法 #{} 实现模糊查询 sql 语句的 ${} ${} 实现模糊查询 #{} 与 ${} 对比 sql 语句的 #{} 表示一个占位符号,通过 #{} 可以实现 preparedStatement 向占位符设置值。 自动进行 java 类型和 jdbc 类型转换。 可以有效防止 sql 注入。 可以接收简单类型值或 pojo 属性值。 如果 .
sql语句使用#{}与${}的区别
最新发布
m0_64823170的博客
02-28 740
比如一个登录表单,攻击者在用户名字段输入 admin' --,如果后端SQL语句是。这里 -- 后面的内容被注释掉,因此SQL语句实际上忽略了密码检查。则实际执行的SQL语句变成了。
SQL —— #{} 和 ${}
看了就会暴富的博客!
11-17 3425
问题 sql语句可以使用#{} 或${}进行传参,那么他们有什么区别,使用上有什么需要注意的地方呢? 解决 在预编译的处理是不一样的。#{} 在预处理时,会把参数部分用一个占位符 ? 代替,变成如下的 sql 语句:select * from a where name = ?; 而 ${} 则只是简单的字符串替换,在动态解析阶段,该 sql 语句会被解析成:select * from a where name = 'zhangsan'; 实际使用 优先使用 #{}。因为 ${} 可能会导致..
mybatis 07: sql标签 “#{}“ 和 “${}“ 的作用和比较
Candyz7的博客
08-13 622
Users{id=2, userName='小王', birthday=Thu Jul 12 00:00:00 CST 2001, sex='1', address='芜湖市'}Users{id=2, userName='小王', birthday=Thu Jul 12 00:00:00 CST 2001, sex='1', address='芜湖市'}存在的问题:两条sql语句的结构在本质上是相同的,写两条语句十分冗余,可以采用替换列名的方式进行优化。//获取mybatis动态代理对象。...
sql注入介绍与实例操作( #{}和${})
weixin_43005654的博客
04-30 1963
sql注入介绍及实例操作(#{}、${})
#{}与${}区别及#{}为什么可以防止 SQL 注入
weixin_42774617的博客
04-03 1113
MyBatis的#{}之所以能够预防SQL注入是因为底层使用了PreparedStatement类的setString()方法来设置参数,此方法会获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则会在前面加上一个’/'代表转义此符号,让其变为一个普通的字符串,不参与SQL语句的生成,达到防止SQL注入的效果。Mybatis 在处理#̲{}时,会将 sql 的#{…使用#{}可以有效的防止 SQL 注入,提高系统安全性。{}时,就是把${}替换成变量的值。
sql${}和#{}的区别
liyanfeng的博客
10-27 1487
项目开发过程,在mybaitis框架sql经常需要动态赋值,会出现#{param} 、${param}两种形式。 接下来,我们一起来看一个案例:根据用户的姓名来筛选用户信息,其用户姓名不确定,是动态变化的,sql如下: select * from userInfo where user_name=“张三”; //查询名称是张三的信息 在xml select * from userInfo where user_name=#{name} //根据名称动态查询用户信息,#将参数解析成
Hive和Spark两者之间区别
03-09
Hive是基于Hadoop的数据仓库工具,可以将结构化数据映射到Hadoop的分布式文件系统上,并提供类SQL的查询语言。而Spark则是一个通用的大数据处理引擎,可以在内存进行数据处理,速度更快。此外,Spark还支持多种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值