今天在思考mysql的三中模糊查询时,对$,和#进行了一个总结

最新推荐文章于 2023-12-20 17:13:17 发布
最新推荐文章于 2023-12-20 17:13:17 发布
阅读量358 收藏 1
点赞数
文章标签: mybatis mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54020150/article/details/127726926
版权

#在idea中会将传入的数据都转义为字符串,会对传入的数据加双引号。如:order by #{id},如果传入的值是001,那么解析成sql时的值为order by "001", 如果传入的值是id,则解析成的sql为order by "id".

$则会将传入的数据直接生成传入到sql中。如上:如果传入的值是001,那么解析成sql时的值为order by 001, 如果传入的值是id,则解析成的sql为order by id.
#方式能够防止sql注入,$方式无法防止sql注入。

如模糊查询中的%${ }%,如果用户传入 ${炸` 1=1 --},感兴趣的可以去尝试下,如果将 注释符 改编成 drop,delete ...
$方式一般用于传入数据库对象,例如传入表名.
默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(也就是占位符)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用:ORDER BY ${columnName},这里MyBatis不会修改或转义字符串。

综上:一般能用#的就别用$,模糊查询建议concat(`%`,#{},`%`).
MyBatis排序时使用order by 动态参数时需要注意,用$而不是#
字符串替换,接受从用户输入的内容并传入到数据库,这样是有极大的风险的。这会导致潜在的SQL注入攻击,因此不应该允许用户输入这类字段,或者通常自行转义并检查。

//各位有不同的见解 和补充 欢迎评论,帮我进步,哈哈哈哈

YF、makegos
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
使用 Example 类 实现MySQL一个搜索框对多个字段的模糊查询
12-14
使用的 Example 类是由 mybatis-generator 所生成的 以下是具体内容: 这里用的 or 的方式 SpaItemExample.Criteria criteria = example.createCriteria(); criteria.andCodeLike('%'+queryString+'%');...
like模糊查询为什么使用concat函数
weixin_39315827的博客
11-03 1万+
使用like语句进行参数化模糊查找,需要使用concat函数。(在实际的使用中,条件是作为参数传递进来的。 所以我们使用 concat() 函数)。 假设需要模糊匹配的是字段name,其sql语句如下 select * from Table where 1=1 name like '%?name%' 通过执行语句,数据库却提示语法错误,而错误原因是因为参数化的候?name最终会被字符串...
MyBatis模糊查询、批量删除、查询某表)、#{}和${}区别
m0_71751187的博客
11-02 336
MyBatis模糊查询、批量删除)、#{}和${}区别
Mybatis模糊查询中${}和#{}的区别
最新发布
weixin_56950910的博客
12-20 13
sql注入 底层 jdbc类型转换 单个简单类型的参数。$ 不防止 Statement 不转换 value。# 防止 preparedStatement 转换 任意。结论:除模糊匹配外,杜绝使用${}
编程修炼之sql特殊字符查询
u013257767的博客
12-18 1040
当编写WHERE语句中有LIKE条件,如果参数中需要匹配 % 和_ 等特殊字符,必须进行处理,否则系统会将其当成通配符处理。 SqlServer: 有两种方案 一:将参数中的 [ 替换成 [[], % 替换成 [%], _ 替换成 [_];(推荐用这种方案处理) 二:先将参数中的 \ 替换成 \, [替换成[ , % 替换成 %, _ 替换成 _; 然后在每个需要like查询的字段后加上escape ‘’。 注:sqlserver2005测试通过 Oracle 只能既改参数,又改SQL语句。 先将参数
mysql--mysql 中的$和# 使用方法的区别
shawnyang2019的博客
10-22 1万+
有order by 中的传值引起的问题:order by 后面不能用# 只能用$ 进行传值 <select id="queryServerPage" resultType="io.sportii.common.entity.pension.ServerEntity"> SELECT id, id as server_id,...
Mysql 模糊查询
05-09
Mysql 模糊查询,不同场景的查询方式,根据条件查询
MySQL 多表关联一对多查询实现取最新一条数据的方法示例
09-08
主要介绍了MySQL 多表关联一对多查询实现取最新一条数据的方法,结合实例形式详细分析了MySQL 多表关联一对多查询实现取最新一条数据相关原理、实现方法与操作注意事项,需要的朋友可以参考下
mysql模糊查询的四种用法介绍
09-10
主要介绍了mysql模糊查询的四种用法,需要的朋友可以参考下
MySql官方手册学习笔记2 MySql模糊查询和正则表达式
10-27
MySQL提供标准的SQL模式匹配,以及扩展正则表达式模式匹配的格式
mysql $的用法_mysql查询用法
weixin_39909859的博客
01-27 970
MySQL提供标准的SQL模式匹配,以及一种基于象Unix实用程序如vi、grep和sed的扩展正则表达式模式匹配的格式。SQL的模式匹配允许你使用“_”匹配任何单个字符,而“%”匹配任意数目字符(包括零个字符)。在 MySQL中,SQL的模式缺省是忽略大小写的。下面显示一些例子。注意在你使用SQL模式,你不能使用=或!=;而使用LIKE或NOT LIKE比较操作符。为了找出以“b”开头的名字:...
mysql误操作引起的问题
zhenlq的专栏
12-31 604
最近在做mysql备份库,没有使用mysqldump命令,而是直接将备库重命名,当然,不是直接重命名的,网上查,要先关闭数据库,再在mysql数据目录下(/var/lib/mysql/)mv数据库进行备份;之后在还原的候,数据库也正常,也就是移动同一个目录,不会影响数据。但是,当我新建一个数据库A (存储引擎都是InnoDB),把A库里的表*.frm都拷贝都mysql数据目录下新的目录B,
mysql #{}和$ {}使用出错,导致参数从varchar变int 运行错误
weixin_44934104的博客
08-24 425
我的删除delete的SQL语句因为表名是动态的,所以使用的$ {}来设置表名,后面的where条件顺手(复制粘贴)也写成了${},导致传递参数的值本来是字符串类型却编译成了数字,导致执行后出现数据错误。知识点是明白的,问题也不算大,但是项目跑起来的候导致一直数据不对……区别:#{}是预编译处理,$ {}是字符串替换。
concat() 的用法
热门推荐
追梦赤子的博客
12-02 2万+
from `waterdb_nb`.`nb_readmeter_plan` WHERE ( customer_id LIKE CONCAT(CONCAT('%',#{param}),'%') or customer_name LIKE CONCAT(CONCAT('%',#{param}),'%') or address LIKE CONCAT(CONCAT('%',#{param}),'%') or
mysql的“$“和“#“
BigDevil_的博客
12-15 530
首先都是把参数进行sql语句的拼接 #{param} 会对自动传入的数据加一个双引号,传入的数据都当成一个字符串(这也正是它可以防止sql注入的原因) name="desc" select * from tb_user where name = #{name} select * from tb_user where name = "desc" ${param} 传递的参数会被当成sql语句中的一...
关于模糊查询like中#和$的用法
weixin_38167703的博客
01-20 4109
如果用$的话那么可以直接在mapper文件中的select语句的中直接用单引号使用直接读取数据因为他会把数据直接放入(编译之前sql已经没有常量了) select * from user where sex = #{user.sex} and username like '%${user.username}%'; 如果要在like中使用#{}那么单引号中的所有数据都应...
(安全)#和$哪一个防止SQL注入
weixin_39815169的博客
03-15 762
#可以有效的防止SQL注入 会加上“” 之后写进sql中 $不能防止SQL注入 因为会直接写进sql语句中 使用#: 1、用#来传递参数,sql在解析的候会加上“”,当成字符段来解析。例如id=“12”。所有很大程度上防止sql注入。 使用$: 1、用传入数据直接显示在生成的sql中,如上面的语句id=传入数据直接显示在生成的sql中,如上面的语句id=传入数据直接显示在生成的sql中,如上面的语句id={12}直接解析为id=12,执行会报错。 能用#尽量用#。 ————————————————
${} 和 #{} 的区别,防止sql注入,#{}的模糊查询
Java牛马的博客
08-09 1571
Java模糊查询Mybatis模糊查询相关,xml),防止sql注入 1.先看一波这种写法实现模糊查询: <select id="queryExample" resultMap = "userMap" > select id, email, password, create_time, phone_number from ex_user where nickname like '%${nickname}%' </select> 说明: 一般情况下,
彻底搞懂MyBaits中#{}和${}的区别
緑水長流*z
07-11 3718
MyBatis中${}和#{}的区别 1.1 ${}和#{}演示 数据库数据: dao接口: List<User> findByUsername(String username); List<User> findByUsername2(String username); Mapper.xml: <!-- 使用#{} --> <select id="findByUsername" parameterType="java.lang.String" resu
mysql模糊查询 一个输入框 多个模糊查询
08-24
你可以使用MySQL的LIKE操作符来实现多个模糊查询。假设你有一个名为`table_name`的表,其中包含一个名为`column_name`的列,你可以使用以下查询语句: ```sql SELECT * FROM table_name WHERE column_name LIKE '%...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

YF、makegos

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值