Mybatis(4 #和$符号的区别)

最新推荐文章于 2024-08-21 23:39:15 发布
最新推荐文章于 2024-08-21 23:39:15 发布
阅读量630 收藏
点赞数 1
文章标签: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21891953/article/details/122640197
版权 
    //根据用户名和pwd查询用户
    UserInfo queryUserInfoByUsernameAndPwd(@Param("userName") String userName,@Param("userPwd") String userPwd);

#号

    <select id="queryUserInfoByUsernameAndPwd" resultType="UserInfo">
        select * from user_info where username=#{userName} and user_password=#{userPwd}
    </select>
 public static void main( String[] args ) throws Exception{
        SqlSession sqlSession = getSqlSession();
        UserInfoMapper mapper=sqlSession.getMapper(UserInfoMapper.class);
        UserInfo userInfo=mapper.queryUserInfoByUsernameAndPwd("zhangsan","123");
        System.out.println(userInfo);
    }

 发现使用#号用“zhangsan”“123”去对应填充sql中的?

$

    <select id="queryUserInfoByUsernameAndPwd" resultType="UserInfo">
        select * from user_info where username=${userName} and user_password=${userPwd}
    </select>

而使用$符号则使用""里的内容去直接拼接sql语句

需改成 

 public static void main( String[] args ) throws Exception{
        SqlSession sqlSession = getSqlSession();
        UserInfoMapper mapper=sqlSession.getMapper(UserInfoMapper.class);
        UserInfo userInfo=mapper.queryUserInfoByUsernameAndPwd("'zhangsan'","'123'");
        System.out.println(userInfo);
    }

但是该方法存在注入问题:

  public static void main( String[] args ) throws Exception{
        SqlSession sqlSession = getSqlSession();
        UserInfoMapper mapper=sqlSession.getMapper(UserInfoMapper.class);
        UserInfo userInfo=mapper.queryUserInfoByUsernameAndPwd("'zhangsan' or 1=1","12345");
        System.out.println(userInfo);
    }

若修改为以上形式,无论密码正确与否都会成功

a or b and c ===> or的优先级小于and ==>a or (b and c)  

a为true(username存在)直接查处该user的信息

 

zhin98
关注
mybatis的#和$使用和区别
学无止境
02-27 865
mybatis的#和$使用和区别
MyBatis中#和$区别
你只管努力,
11-25 271
1.#是占位符。 $是用来拼接字符,虽然也是占位但是做不了字符的转换。#自动转换 日常报标识符无效的异常 2.#直接获取属性名称 $首先去获取properties文件的属性名称,没有的话再去对象或者参数中找。 3.#占位符 $拼接字符串,容易出现SQL注入。 为什么要引入$符号? 因为当数据库非常大的时候需要进行分库和分表, 数据量大的时候#无法处理 这时候就需要$来处理了。传...
4_#{}与${}的区别?
aofengchuang的博客
08-21 277
#{}是预编译处理 使用#{}可以有效的防止SQL注入,提高系统安全性 Mybatis在处理#{}时,将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值 ${}是字符串替换 Mybatis在处理${}时,把${}替换成变量的值 #{} ${} 预编译处理 字符串替换 可以有效的防止SQL注入,提高了系统的安全性 会将 sql 中的#{}替换为?号,调用 PreparedStatement 的 set 方法来赋值 把${}替换成变量的
4. Mybatis入门,参数中#和$的区别
LeoHan
07-02 212
在xml的语句中,${id}相当于是直接替换,例如: ORDER BY ${columnName},则会直接按值替换掉,不会生成PreparedStatement,是直接在SQL层面替换。 但是如果使用#{id}会促使MyBatis 生成PreparedStatement并且安全地设置 PreparedStatement 参数(=?)值。 ...
linux 脚本中=$4,shell脚本实例,通向shell脚本大师的必经之路
weixin_28691003的博客
05-28 1033
概述读书百遍其义自见,shell脚本也是,只要例子看得多了,自然就知道怎么写了。这里主要整理了20几个例子,因为内容比较多,所以分了几次来做介绍了。下面的实例最好先自己思考怎么去实现,然后再看下实现的方式,答案不是标准的,也存在一些可以继续完善的地方。1、文件以日期命名,并写入磁盘使用情况#!/bin/bash############################################...
Linux中变量$#,$@,$0,$1,$2,$*,$$,$?的含义
weixin_34096182的博客
12-16 517
我们先写一个简单的脚本,执行以后再解释各个变量的意义 # touch variable # vi variable 脚本内容如下: #!/bin/sh echo "number:$#" echo "scname:$0" echo "first :$1" echo "second:$2" echo "argume:$@" echo "s...
项目学习 —— 注册和登录(1)
Archer__13的博客
03-14 3424
一. 创建数据库和表 创建一个数据库studyproject,在该数据库下创建一个user表 create table user{ id int primary key auto_increment, username varchar(20) not null, password varchar(32) not null, email varchar(200) }; insert into user(username,password,email) values(.
Mybatis中#和$的区别
热门推荐
伏颜的博客
07-11 1万+
Mybatis中#和$的区别
浅谈mybatis中的#和$的区别
09-02
MyBatis中,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mabitis中的#与$符号区别及用法介绍
08-31
MyBatis中,`#`和`$`符号在SQL动态语句中扮演着不同角色,它们的主要区别和用法如下: 一、`#`与`$`的区别 1. `#{}`:MyBatis将`#{}`视为PreparedStatement的参数标记符。当SQL语句中的`#{}`被解析时,它会被...
js正则表达式之$1$2$3$4$5$6$7$8$9属性,返回子匹配的结果
12-13
功能:$1-$9存放着正则表达式中最近的9个正则表达式的匹配结果,这些结果按照子匹配的出现顺序依次排列。 基本语法RegExp.$n 注意:这些属性是静态的,除了replace中的第二个参数可以省略RegExp之外,其他地方使用都要加上RegExp。案例讲解:demo1 代码如下: <html> [removed] //创建要进行匹配的字符串 var objStr=”这是我的手机号13100000000″ //创建正则表达式匹配手机号码 var re=/(13)(/d)(/d{8})/;//该正则表达式可
MyBatis中#号与美元符号区别
08-31
MyBatis框架中,#号和美元符号($)在动态SQL中的使用有着显著的区别,这些差异直接影响到SQL语句的预编译、类型匹配以及安全性。 首先,#{}是MyBatis的预编译占位符。当使用#{变量名}时,MyBatis会进行预编译处理...
JavaEE 项目:用户信息管理系统
South.return
12-02 1万+
目录 项目介绍 数据库设计 各包结构设计与说明 功能实现 1. 登录功能 2. 分页查询、模糊查询 3. 增、删、改操作 总结 项目介绍 本项目主要实现了对用户信息的管理,能够在客户端很好的操作各个功能,并实时更新用户数据。采用MySQL数据库存储数据,JDBC连接数据库,Servlet、JSP等技术完成各个功能的具体实现。界面采用Bootstrap框架技术,实现了一个简单的界面效果。 数据库设计 为了方便起见,将管理员的用户名和密码写在了用户信息表中。(不合理的...
浏览器开发者工具,选中dom元素之后,在控制台使用$0-$4分别指代最近选中的5个html元素
qq_17335549的博客
12-24 685
浏览器开发者工具,选中dom元素之后,在控制台使用$0-$4分别指代最近选中的5个html元素
常微分方程 $4 线性微分方程组
weixin_42935837的博客
08-15 823
§4 线性微分方程组 C1 解的结构 1)一阶线性微分方程组:简记为x⃗′=A(t)x⃗+f⃗(t)\vec x' = A(t) \vec x +\vec f(t)x′=A(t)x+f​(t) {x⃗1′=a11(t)x⃗1+a12(t)x⃗2+⋯+a1n(t)x⃗n+f⃗1(t)x⃗2′=a21(t)x⃗1+a22(t)x⃗2+⋯+a2n(t)x⃗n+f⃗2(t)⋯⋯x⃗n′=an1(t)x⃗1+an2(t)x⃗2+⋯+ann(t)x⃗n+f⃗n(t) \begin{cases} \vec x_1' =
MybatisPlus的LambdaQueryWrapper用法
2301_79693537的博客
08-21 4875
【代码】MybatisPlus的LambdaQueryWrapper用法。
基于微信小程序的新生报到系统设计与实现.docx
09-13
基于微信小程序的新生报到系统设计与实现.docx
基于java的电商平台的设计与实现.docx
最新发布
09-13
基于java的电商平台的设计与实现.docx
基于java的大学生智能消费记账系统的设计与实现.docx
09-13
基于java的大学生智能消费记账系统的设计与实现.docx
MyBatis中的#和$符号
05-11
MyBatis 中,# 和 $ 符号都用于动态地构建 SQL 语句,但它们的用法略有不同。 # 符号用于预编译 SQL 语句中的占位符,它可以防止 SQL 注入攻击。在 SQL 语句中,# 符号所代表的值会被预编译成一个占位符,然后在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值