Mybatis中使用${}和使用#{}

最新推荐文章于 2024-05-31 10:46:10 发布
最新推荐文章于 2024-05-31 10:46:10 发布
阅读量957 收藏 2
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67402564/article/details/123669722
版权

Mybatis中${}和#{}的区别

印象中一直认为使用Mybatis肯定能防止sql注入,前两天才发现我太天真了。防止sql注入也是有条件的,这我们就要了解下Mybatis中${}和#{}的使用了。

1、使用#{}

Mybatis在对#{}进行预处理时,会把#{}处理成占位符,实际执行的时候才会把参数替换进去,相当于jdbc的PreparedStatement。

<select id="select" parameterType="java.lang.String" resultType="baseMap">
    select * from user where name=#{name}
</select>

上面这个配置实际打印出来的sql为

select * from user where name=?

这样有效的预防了sql注入。

2、使用${}

<select id="select" parameterType="java.lang.String" resultType="baseMap">
    select * from user where name=${name}
</select>

上面这个配置实际打印出来的sql为

select * from user where name=name

${} 则只是简单的字符串替换,在动态解析阶段,该 sql 语句会直接将变量值替换进去,这样就有可能会发生sql注入的风险。

3、总结

1.#{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #{user_id},如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”.
2.将传入的数据直接显示生成在sql中。如:order by KaTeX parse error: Expected 'EOF', got '#' at position 90: …der by id. 3.#̲{}方式能够很大程度防止sql…{}方式无法防止Sql注入。
4.KaTeX parse error: Expected 'EOF', got '#' at position 46: …y后的列名。 5.一般能用#̲的就别用
MyBatis排序时使用order by 动态参数时需要注意,用${}而不是#{}。

m0_67402564
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MyBatis使用$和#所遇到的问题及解决办法
09-01
主要介绍了MyBatis使用$和#所遇到的问题及解决办法的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
Java Mybatis的 ${ } 和 #{ }的区别使用详解
08-18
主要介绍了Mybatis的 ${ } 和 #{ }的区别使用详解,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
MyBatis #和$的区别
阿顾的博客
06-27 1177
$符号的用法 场景:用户数据特别多,需要把用户数据分表存储,user1表和user2表;查询表的信息,有需要从user1表查,有需要从user2表查,现在想用一个方法完成。 在UserMapper接口增加一个根据表名查询用户的方法: /** * 根据表名查询用户信息 * @param tableName * @return */ ...
工作发狂:Mybatis $和#千万不要乱用!
Java后端技术
05-08 820
点击上方“Java后端技术”,选择“置顶或者星标”你关注的就是我关心的!作者:程序猿的内心独白开头这是一次代码优化过程发现的问题,在功能优化后发现部分数据查不到出来了,...
Mybatis $ 和 #千万不要乱用
嘻哈熊的专栏
03-13 1023
开头 这是一次代码优化过程发现的问题,在功能优化后发现部分数据查不到出来了,问题就在于一条 sql 上的 #和 $。 下图为两条 sql: 从图上可以看出 wwlr.LabelId in(${showLabels}) 和 wwlr.LabelId in(#{showLabels}),其 showLabels 是传进来一个字符串类型的参数,参数的样子是这样的 “4,44,514”,问题就出在这个参数传进来后 #和 $ 处理的方式是不一样的。 区别 1、#{} 是预编译处理,MyBatis 在处理 #{}
MyBatis#{}和${}
weixin_46155048的博客
10-28 3799
MyBatis有两种动态传递参数的方式#{},${} #{}:占位符 KaTeX parse error: Expected 'EOF', got '#' at position 9: {}:拼接符 #̲{}是预编译,{}是字符串拼接 变量替换后#{}会自动加上单引号,${}不会加上单引号 #{}能防止sql注入 ${}不能防止sql注入 #{} 和 KaTeX parse error: Expected 'EOF', got '#' at position 20: …实例:假设传入参数为 1
mybatis的#和$的区别
qq_32619291的博客
08-09 296
“#”将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”. 将传入的数据直接显示生成在sql。如:orderby将传入的数据直接显示生成在sql。如:order by user_id$,如果传入的值是1
MyBatis#{}与${}的使用
Future_LL的博客
06-25 471
MyBatis #{} 和 ${} 的主要区别 # 传入的参数在 SQL 显示为字符串,# 方式能够很大程度防止 SQL 注入 $ 传入的参数在 SQL 直接显示为传入的值,$ 方式无法防止 SQL 注入 其他区别 传入的参数在 SQL 显示不同 # 传入的参数在 SQL 显示为字符串(当成一个字符串),会对自动传入的数据加一个双引号。 $ 传入的参数在 SQL 直接显示为传入的值 ...
Mybatis的$和#
sillyyyy的博客
05-08 2481
在SQL语句执行Mybatis会将$占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用$占位符可以在某些情况下提高SQL语句的性能,因为在预编译不需要处理参数占位符。#用于预编译,表示参数占位符,例如:#{username}。在SQL语句执行Mybatis会将占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用#占位符可以有效地防止SQL注入攻击,因为Mybatis会将参数值转义后再替换占位符。使用哪种占位符取决于具体的需求,如果需要防止SQL注入攻击,则应该使用#占位符;
浅谈Mybatis #和$区别以及原理
08-18
主要介绍了浅谈Mybatis #和$区别以及原理,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
浅谈mybatis的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
主要介绍了Mybatis#{}和${}传参的区别及#和$的区别小结 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
进阶2 探索图形化编程:扩展图形组件与切片开发的魅力
优树搭的博客
05-30 1498
当这些切片成功地通过图形程序串联起来后,在后续进行程序升级或维护,大家会惊喜地发现,图形程序就如同清晰的路标一般,可以非常便捷地通过图形程序准确地定位到相关切片,并对这些切片进行在线查看、编辑和执行等操作。而且,这些切片的代码长度通常不会太长,相比传统开发的代码,阅读起来要容易得多,这无疑会给系统后续的工作带来极大的便利。
JAVAEE之多线程进阶(2)_ CAS概念、实现原理、ABA问题及解决方案
2301_80653026的博客
05-29 1532
CAS全称Compare and swap,字面意思:”比较并交换“,它是一条 CPU 并发原语,用于判断内存某个值是否为预期值,如果是则更改为新的值,这个过程是原子的。全称 Compare and swap, 即 “比较并交换”. 相当于通过一个原子的操作, 同完成 “读取内存, 比较是否相等, 修改内存” 这三个步骤. 本质上需要 CPU 指令的支撑。
operator <=> (spaceship operator)
janeqi1987的专栏
05-28 1062
= 与!= 操作符为了检查是否相等,现在定义== 操作符就够了。当编译器找不到表达式的匹配声明a!=b ,编译器会重写表达式并查找!(a==b)。若这不起作用,编译器也会尝试改变操作数的顺序,所以也会尝试!(b==a):a!=b,!(b==a)因此,对于TypeA 的a 和TypeB 的b,编译器将能够识别并编译a!= b若需要的话,可以这样做• 一个独立函数operator!• 一个独立函数operator==(TypeA, TypeB)
Java 异常处理try-catch块、finally子句以及自定义异常的使用
最新发布
Itmastergo的博客
05-31 898
异常是程序运行过程出现的非正常情况。Java 使用异常类(Exception 类及其子类)来表示这些异常情况。异常处理的核心思想是将正常的程序流程与异常处理流程分离开来,使代码更加清晰和可维护。Throwable 类:所有异常和错误的基类。Error 类:表示系统级的错误,程序通常无法处理,比如内存不足(OutOfMemoryError)。Exception 类:表示程序可以处理的异常情况。RuntimeException 类。
Java手动启动jar包
liangweihao的博客
05-29 364
【代码】Java手动启动jar包。
java调用cmd执行命令
weixin_45210565的博客
05-28 320
3、exec(String command, String[] envp) ,在调用外部程序之前设置系统环境变量,该变量仅供command入参使用,envp每个元素为一个系统环境变量,并且字符串格式为“环境变量名=环境变量值”。2、exec(String[] cmdArray) ,调用外部程序,入参cmdArray的元素将组合成为一条完整的外部可执行程序的启动路径或命令。1、exec(String command) ,调用外部程序,入参command为外部可执行程序的启动路径或命令。
mybatis #和$的区别
09-19
MyBatis,${}和#{}都是用来替换参数的符号,但它们有以下几个区别: 1. 功能不同:${}是直接替换参数的值,而#{}是进行预处理,并将参数的值设置到预编译语句。 2. 使用场景不同:通常情况下,我们使用#{}来替换普通的参数,而对于需要传递SQL命令或SQL关键字的情况,我们需要使用${}。但是在使用${}之前,务必进行安全验证。 3. 安全性不同:使用${}存在安全问题,容易引发SQL注入攻击。而使用#{}进行预处理可以有效防止这种安全问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值