mybatis中#和$的区别 SQL

最新推荐文章于 2022-08-02 00:33:43 发布
最新推荐文章于 2022-08-02 00:33:43 发布
阅读量203 收藏
点赞数
分类专栏: 数据库 文章标签: mysql防注入 mybatis

在mybatis中的$与#都是在sql中动态的传入参数。
eg:select id,name,age from student where name=#{name} 这个name是动态的,可变的。当你传入什么样的值,就会根据你传入的值执行sql语句。

两者区别

  1. 就是将传入的值作为字符串的形式。用#{}传入值,sql动态解析为一个JDBC预编译语句(preparedStatement)的参数标记符,也就是说,sql语句中如果存在参数则会使用?作占位符,加了单引号,把参数默认为字符串进行处理;

"select name from user where id= ?"
  1. $是将传入的数据直接显示生成sql语句,sql动态解析时候不加引号,直接进行变量替换,参与SQL编译。
  2. 使用#可以防注入。注入就是恶意的语句拼接。
  3. 使用order by中需要使用$
  4. 在parameterType是int时,sql语句中必须是#{}。

啥叫防注入?

SQL注入起因

SQL注入是一种常见的攻击方式,攻击者或者误操作者通过表单信息或者URL输入一些异常的参数(最常用的是使用字符串连接的方式组合SQL指令),传入服务端进行SQL处理,可能会出现这样的情况

delete from app_poi where poi_id = (输入参数):

输入参数:10 or 1 = 1

SQL拼接:delete from app_poi where poi_id = (10 or 1 = 1)

执行结果:app_poi中的所有数据都会被delete

例子2:
在这里插入图片描述
这种问题出现的原因可能是攻击者故意为之,也可能是误操作,那么服务端该如何处理,避免这样的问题出现呢?

mybatis防注入

其实就是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行同一个SQL时,能够提高效率。原因是SQL已编译好,再次执行时无需再编译。

PreparedStatement会对SQL中输入的参数进行检测,并在SQL都是用问号来设置占位符,即只允许传入一个参数,像(10 or 1 = 1)这种明显不会被占位符所接受。

因为SQL注入只能对编译过程起作用,所以这样的方式就很好地避免了SQL注入的问题。

结论

so,#{}是经过预编译的,是安全的; 是 未 经 过 预 编 译 的 , 仅 仅 是 取 变 量 的 值 , 非 安 全 的 。 如 果 不 得 不 使 用 {}是未经过预编译的,仅仅是取变量的值,非安全的。如果不得不使用 使{}那么要手工做好过滤工作。

关于注入的例子见:https://blog.csdn.net/qq_27811247/article/details/80775036

木霖森77
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis的#{}和${}
qq_30177469的博客
05-12 233
Mybatis的#{}和${}的区别。先看下面这一段sql。 <update id="update"> UPDATE ${prefix}WF_PROCDEF_BILLTYPE SET proc_def_id = #{procDefId}, proc_def_key = #{procDefKey}, proc_def_name = #{procDefName}, biz_bill_type = #{bizBillType},.
关于mybatis#和$的区别
疯狂
05-11 634
mybatis动态添加 sql:select * from user t1     and t1.ID =#{id}    意思是如果id不为空并且不等于空字符串,将里面的内容拼到前面的sql,相当于java代码: if(id!=null&id!=""){      sql. append(t1.getId()="+id+") } 如果使用#{id},他对传过来的参数提前
mybatis#{}与${}的区别
develop
06-22 620
相同点: 1、可以接收输入参数,类型可以是简单类型,pojo、hashmap。 2、可以接收pojo对象值,通过OGNL读取对象的属性值,是通过属性.属性…的方式获取对象属性的值。不同点: 1、#{}表示一个占位符号;${}表示一个拼接符号,会引用sql注入,所以不建议使用。 2、#{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号;${}将传入的数据直接显示生成在sql
老司机学习MyBatis之#与$取值区别
Java小蚂蚁
06-10 859
一、前言动态SQLMyBatis的主要特性之一,在mapper定义的参数传到XML之后,在查询之前 mybatis 会对其进行动态解析。MyBatis 为我们提供了两种支持动态SQL的语法:#{} 以及 ${}。二、案例下面我们通过相关案例来演示一下$与#的用法。UserMapper.xml文件查询语句最初写法&lt;select id="findUserByMapParam" para...
mysql注入式攻击_Mybatis 框架下 SQL 注入攻击的方式
weixin_31424199的博客
01-27 91
前言SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java随着预编译与各种ORM框架的使用,注入问题也越来越少。新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。MybatisSQL注入MybatisSQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到x...
浅谈Mybatis #和$区别以及原理
08-18
Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别Mybatis,#和$都是占位符,但是它们...
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
浅谈mybatis的#和$的区别 以及sql注入的方法
09-01
MyBatis,`#`和`$`在动态SQL的使用有着明显的区别,它们在处理传入数据的方式上有所不同,同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
MyBatis #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1216
1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
mybatis的#{}和${}
submorino的专栏
11-25 2402
mybatis的#{}和${} 1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1)   1)#{}为参数占位符?,即sql 预编译   2)${}为字符串替换,即sql 拼接 (2)   1)#{}:动态解析 ->预编译-> 执行   2)${}:动态解析 ->编译-> 执行 (3)   1)#{}的变量替换是在DBMS   2)${}...
Mybatis的${}和#{}区别
web18484626332的博客
08-02 8743
动态sqlmybatis的主要特性之一,在mapper定义的参数传到xml之后,在查询之前,mybatis会对其进行动态解析。mybatis为我们提供了两种支持动态sql的语法#{}以及${}提示以下是本篇文章正文内容,下面案例可供参考。...
Mybatis#{}和${}的用法
li_w_ch的博客
11-17 1万+
1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。 比如, select * from student where student_name = #{studentName} 如果传入的值为xiaoming,那么解析成sql的值为student_name="xioming"。 2、${}将传入的数据直接显示生成在sql。 如 : select ${fieldNmae} from student where student_age = 18 此时,传入的参数作为要查询的字
mybatis#{}和${}的区别
weixin_34149796的博客
08-17 2462
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".  2. $将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为orde...
Mybatis #和$
井底之蛙
03-16 1万+
mybatis的mapper文件,对于传递的参数我们一般是使用#和$来获取参数值。 当使用#时变量是占位符,就是一般我们使用java jdbc的PrepareStatement时的占位符?,所有可以sql注入 当使用$时,变量就是直接追加在sql,一般会有sql注入问题。 一个问题就是:在使用mybatis传递时间变量时,如果通过#方式获取变量值,可能会出现与数据库的字段的
MyBatis ${}和 #{}千万不要乱用
热门推荐
小布1994的博客
07-26 3万+
1、#{}是预编译处理,MyBatis在处理#{ }时,它会将sql的#{ }替换为?,然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号,如上面的值 “4,44,514”就会变成“ ‘4,44,514’ ”; 2、是字符串替换,在处理是字符串替换,MyBatis在处理时,它会将sql的{}是字符串替换,在处理{ }是字符串替换, MyBat...
mybatis#和$的区别
最新发布
06-07
MyBatis,#和$都是用于替换SQL语句的占位符的符号,但它们的处理方式不同。 #号表示占位符,通过预编译的方式将传入的参数值进行安全的替换,SQL注入攻击,同时将参数值转换为对应的JDBC类型。例如: ``` SELECT * FROM user WHERE id = #{userId} ``` 在执行SQL时,#{userId}会被替换为一个?号占位符,同时userId参数的值会被预编译并设置为PreparedStatement的参数值。 $号则表示直接替换,将SQL语句的占位符替换为传入的参数值,并不进行预编译和JDBC类型转换。例如: ``` SELECT * FROM user WHERE id = ${userId} ``` 在执行SQL时,${userId}会被替换为实际的参数值,不会进行预编译和JDBC类型转换,如果参数值存在SQL注入攻击的风险,就会导致SQL注入攻击。 因此,一般情况下我们建议使用#号进行参数替换,以保证SQL语句的安全性。但如果需要动态拼接SQL语句,或者需要使用一些特殊的SQL语法,可以使用$号进行参数替换。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值