mybatis中的占位符${ }和#{ }

最新推荐文章于 2024-10-29 16:28:27 发布
最新推荐文章于 2024-10-29 16:28:27 发布
阅读量88 收藏
点赞数 1
文章标签: mybatis java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mamahahay/article/details/135223397
版权

数据库的查询条件,今天在实战的时候看到mybatis中的代码 如下:

<if test="query.processGroupName != null and query.processGroupName != ''">
    AND ( processGroup.processGroupName LIKE concat(CONCAT('%', #{query.processGroupName}),'%')
    OR  processGroup.INSPECTOR LIKE concat(CONCAT('%', #{query.processGroupName}),'%'))
</if>

上文加粗代码 涉及到了占位符#{ },经过学习做一个对${ }和#{ }的区分,以及上述代码的其他实现形式

首先,加粗代码翻译成sql是: processGroup.INSPECTOR  LIKE %query.processGroupName%,

#{ }占位符可以更好的保证安全 防止sql注入攻击,因为#{ }会进行转义

sql注入攻击,通过url输入,企图写入sql语句。例如登录的时候url中加入password=123 OR ‘1’=‘1’ 如果此时用的是${ }就会直接嵌入sql语句,始终为真值

上述的语句也可以改为  processGroup.INSPECTOR LIKE ${%query.processGroupName%}

但是可能会遭到sql注入攻击,${ }中的是直接嵌入

也可以改为 % || query.processGroupName || %拼接,不用contact 这是sql的语法

【注】如果用+的话 数字会直接相加 select ‘1’+‘1‘+’1‘  就是select 3  不是拼接! select ‘1’+‘1‘+’1a‘ 出现英文会报错

mamahahay
关注
mybatis占位符转义的解决方式
不积跬步无以至千里,不积小流无以成江河
09-18 1653
今天同事发现根据名称模糊查询的时候数据 % 会查询所有的数据,其实是 ‘ % ’ ,‘_’都是关键字符,所以需要对这样的字符进行转义,方式如下: 1.已经写好了工具类,直接用就好了 /** 将参数包含的%_通配符 先进行转义 */ public static String ContainWildcard(String args) { if (!PubUtils.isNull(arg...
MyBatis特殊字符转义
u010177899的博客
03-29 2120
使用mybatis的时候,特殊字符,例如, 需使用以下进行转义 < 小于号   > > 大于号 & &   与 &apos; ' 单引号 " " 双引号   select id="selectByExampleExt" parameterType="com.cn2
mybatis ${} 和 #{} 的区别,以及转义
qacjava的博客
08-27 2619
1)#{}表示一个占位符号,通过#{}可以实现preparedStatement向占位符设置值,自动进行java类型和jdbc类型转换,#{}可以有效防止sql注入。#{}可以接收简单类型值或pojo属性值。如果parameterType传输单个简单类型值,#{}括号可以是value或其它名称。   (2)${}表示拼接sql串,通过${}可以将parameterType传入的内容拼接在s...
mybatis占位符${}和#{}的区别
ebdbbd的博客
07-26 99
{}在mybatis,她其实最后会被解析成?而且#{}的解析有预编译过程,会对我们的输入的参数进行类型解析,如果是String类型,我们设置参数的额时候就会自动为它。{}在处理阶段不会做参数的类型解析,而仅仅只是做了字符串的简单拼接,若入参的name属性为’OR‘1’='1,那么会解析成。因为我们的后面1=1恒成立,这样攻击者在不需要知道用户名和密码的情况下,也能够完成登录验证。我们在书写SQL语句,更多用的是#{}。,我们这样可以防止我们的SQL注入问题。...
Mybatis的$和#
sillyyyy的博客
05-08 2682
在SQL语句执行时,Mybatis会将$占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用$占位符可以在某些情况下提高SQL语句的性能,因为在预编译时不需要处理参数占位符。#用于预编译,表示参数占位符,例如:#{username}。在SQL语句执行时,Mybatis会将占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用#占位符可以有效地防止SQL注入攻击,因为Mybatis会将参数值转义后再替换占位符。使用哪种占位符取决于具体的需求,如果需要防止SQL注入攻击,则应该使用#占位符
MyBatis——谈谈占位符(#、$)的理解与使用
热门推荐
★★光亭★★
03-02 3万+
MyBatis——谈谈占位符(#、$)的理解与使用
MyBatis】关于 MyBatis占位符 # 和 $ 说明
web15085599741的博客
08-27 484
可 以 替 换 表 名 或 者 列 名 , 需 要 能 确 定 数 据 是 安 全 的 , 才 可 以 使 用 :可以替换表名或者列名, 需要能确定数据是安全的,才可以使用 :可以替换表名或者列名,需要能确定数据是安全的,才可以使用。主要用在替换表名,列名,不同列**排序(order by ${…使用的Statement对象执行sql, 效率比PreparedStatement低。,告诉 mybatis 使用 $ 包含的“字符串”替换所在位置。,告诉 mybatis 使用实际的参数值代替。...
Mybatis占位符 #和$的区别
qq_43185247的博客
12-30 416
印象笔记记录 点我打开笔记
Mybatis#和$的区别
伏颜的博客
07-11 1万+
Mybatis#和$的区别
[MyBatis]Mapper $ 与 # 的区别
喜欢前端的后端 MelodyJerry
02-27 2132
#是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'. $是将传入的数据直接显示生成sql语句,eg:select id,name,age from student where id =${id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age fr..
MyBatis ${}和 #{}的正确使用方法(千万不要乱用)
08-18
MyBatis框架,${} 和 #{} 是两种不同的参数占位符,它们的使用方式和作用有明显的区别,对于SQL语句的安全性和效率有着重要影响。 1. #{} #{} 是预编译处理的方式,也被称为参数绑定或者预处理。在处理 #{ } ...
Mybatis下动态sql##和$$的区别讲解
08-26
一个#{ }被解析为一个参数占位符?。而${ }仅仅为一个纯碎的string替换,在动态SQL解析阶段将会进行变量替换。例如,Mapper.xml如下的SQL: select * from user where name = ${name}; 当我们传递的参数为"Jack...
MyBatis使用$和#所遇到的问题及解决办法
09-01
- #{ }:这是MyBatis的预编译参数标记,它会将参数转化为PreparedStatement的参数占位符,类似于Java的`?`。当MyBatis遇到`#{ }`时,它会将参数值转化为PreparedStatement的参数,这样可以防止SQL注入。例如,...
Mybatis占位符 ${} and #{} 兄弟二人!
weixin_45925109的博客
04-07 332
{}占位符 可以直接看最后的总结! 介于上篇博客Mybatis快速入门 增删改查 傻瓜教程!SQL语句的值是写死在SQL,而在实际开发,此处的值往往是用户提交过来的值,因此这里我们需要将SQL写死的值替换为占位符。 1.查询emp表指定id的员工信息 <select id="findById" resultType="com.tedu.pojo.Emp"> selec...
MybatisPlus的LambdaQueryWrapper用法
2301_79693537的博客
08-21 5449
【代码】MybatisPlus的LambdaQueryWrapper用法。
基于vue框架的的汇生活家居商城的设计与实现bdjlq(程序+源码+数据库+调试部署+开发环境)系统界面在最后面。
最新发布
h2345678的博客
10-29 1253
项目功能:商品分类,商品信息,用户。
(1)Java 编程基础概览:数据类型、常量、变量、标识符与运算符
码界领航的Cherry Yang的博客
10-28 1038
8 位,占1个字节,有符号的,范围 -128(-2^7)至 127(2^7-1)。32 位,占4个字节,范围 -2,147,483,648(-2^31)至 2,147,483,647(2^31 - 1)。Java 提供了六种数字类型,其四个为整数类型,两个为浮点类型,还有字符类型,以及布尔型。16 位,占2个字节,范围 -32768(-2^15)至 32767(2^15 - 1)64 位,占8个字节,范围 -2^63 至 2^63 - 1。16 位 Unicode 字符,占 2 个字节。
java_方法递归调用
HHppGo的博客
10-27 508
简单的说: 递归就是方法自己调用自己,每次调用时传入不同的变量.递归有助于编程者解决复杂问题,同时可以让代码变得简洁。
ssm智慧社区电子商务系统+vue
weixin_44832324的博客
10-28 1230
系统能否进行正常工作,功能模块能否实现,程序代码是否有错误,这些都需要通过系统测试来进行判断,测试是程序开发必不可少的步骤,就算系统一步不差的被开发出来了,但进行测试时总能发现一个之前从没遇到过的问题[26]。在系统开发的整个过程当都需要不断进行系统测试,根据经验发现,前期的一个小问题,将会酿成后期的一个大问题,所以越早发现,越早解决,才能保证后续的编码、测试和设计能够顺利进行。目前,系统测试所使用的方法主要是黑盒测试,系统测试的目的包括:根据客户的需求来设计用户界面;
mybatis的$和#占位符区别,sql注入怎么解决?
06-12
MyBatis的#{}和${}都是用于占位符的,但是它们的作用有所不同。 #{}用于预编译参数,它会将参数值转义后再拼接到SQL语句,可以有效防止SQL注入攻击。 ${}用于拼接SQL语句,它会将参数值原封不动地拼接到SQL...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值