Mybatis中#{}和${}到底有什么区别?

已于 2023-04-02 11:35:39 修改
阅读量213 收藏
点赞数
分类专栏: 学习总结 文章标签: mybatis 数据库 java
于 2023-04-02 11:32:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23373299/article/details/129908626
版权

前言

我们在使用mybatis开发的过程中,经常会用到动态SQL,用到动态SQL就会用到占位符,$ {} 和 # {}是 mybatis中的两种占位符,其最大的区别就是 # {} 可以防止SQL注入,但是${}不可以 ,首先了解以下什么是SQL注入。

什么是SQL注入

SQL 注入是一种常见的安全漏洞,攻击者利用该漏洞可以通过构造特定的输入,向数据库中插入恶意代码或者修改数据库中的数据,甚至可以获取敏感数据。

SQL 注入通常发生在 Web 应用程序中,攻击者可以在用户输入的数据中注入 SQL 代码。当应用程序没有正确地过滤和转义用户输入的数据时,就会存在 SQL 注入的风险。例如,一个简单的用户登录页面,如果没有对用户输入的用户名和密码进行正确的过滤和转义,攻击者就可以在用户名或密码中注入 SQL 代码,例如:

SELECT * FROM users WHERE username='admin' AND password='XXXXX' OR 1=1;

上述代码中的 OR 1=1 表示条件永远成立,这样就可以绕过密码验证直接登录到系统中。

为了避免 SQL 注入攻击,开发人员应该对用户输入的数据进行正确的过滤和转义。在 MyBatis 中,可以使用 #{} 占位符来自动预编译处理传入参数,从而有效地防止 SQL 注入攻击。此外,还可以使用转义函数等方式来对用户输入的特殊字符进行处理,从而保证 SQL 语句的安全和可靠。

什么是预编译

预编译是指在程序执行 SQL 语句之前,数据库会对 SQL 语句进行编译和优化,生成一个可执行的执行计划,并缓存这个执行计划。这个执行计划包含了 SQL 语句的语法分析、表结构分析、索引分析等信息,能够在执行 SQL 语句时快速定位到数据的存储位置,从而提高查询的效率。

预编译就是将SQL语句中的值用一个占位符来进行替代,将SQL语句进行模板化,实现一次编译,多次运行。

预编译的过程一般在程序运行前执行,只需进行一次,不必每次执行 SQL 语句时都进行编译。这可以有效地减少数据库的运算量和网络传输的数据量,提高程序的执行效率。

Mybatis底层使用 PreparedStatement ,默认情况下,将对所有的 SQL进行预编译,将#{}替换为?,然后将带有占位符 ? 的SQL模板发送至MySQL服务器,由服务器对此无参数的SQL进行编译后,将编译结果缓 存,然后直接执行带有真实参数的SQL。

预编译的好处:

  1. 提高执行的效率:预编译将SQL语句和参数分离开来,将SQL语句编译成一个执行计划,参数只需要传递即可,不需要每次使用这个SQL语句的时候都要重新进行编译,减少了执行时间和资源的消耗,减少了数据库的负载。
  2. 提高安全性,防止SQL注入:预编译可以防止SQL注入,因为其将会无视参数进行编译,所以参数不会对SQL的编译结果产生任何的影响,从而避免了恶意代码的注入。
  3. 预编译语句可以重复利用:当预编译之后,会将其存入缓存中,当有相同的语句执行的时候,会直接使用缓存中的执行计划,提高了执行效率。

#{}的实现原理

#{} 占位符的使用非常简单,在 SQL 语句中可以使用 #{} 来代替需要传入的参数。每次#{}会被解析成预编译的语句,预编译之后可以直接执行,不需要重新编译SQL。例如,可以使用以下语法来查询用户表中的某个用户:

SELECT * FROM user WHERE username = #{username}

其会先预编译成:

SELECT * FROM user WHERE username = ?

其中,#{username} 会被 MyBatis 解析为一个占位符,表示从 Java 对象中获取 username 属性的值,并将该值转换为 SQL 语句中的参数。

在实际使用中,#{} 占位符还支持一些特殊的语法,例如:

  1. 支持类型转换:可以使用 #{} 将传入参数进行类型转换,例如 #{age,jdbcType=INTEGER} 表示将传入的 age 参数转换为 INTEGER 类型。
  2. 支持表达式:可以使用 #{} 来编写表达式,例如 #{age+1} 表示将传入的 age 参数加 1。
  3. 支持特殊字符转义:在 #{} 中使用转义字符 \,可以对特殊字符进行转义,例如 #{‘Tom’s book’} 表示将单引号进行转义,从而避免 SQL 注入攻击。

${}的实现原理

${}仅仅为一个字符串替换,它将占位符替换成一个文本字符串,然后生成SQL语句,在每次执行SQL的时候都会重新进行编译,有SQL注入的问题。

select * from user where username = '${username}'

当传递的参数为"cuisenghe"的时候,其会将上面的语句解析成以下形式,然后给数据库进行编译,然后执行。

select * from user where username = "cuisenghe"

也就是说,当使用此种方式的时候,因为没有进行预编译,所以如果用户传来的参数也是一个SQL语句的话,其会拼接在之前的SQL语句后面,再进行编译的时候,会将其也视作SQL语句来进行执行,从而引发了SQL注入的风险。

总结

总的来说,${} 的使用应该尽量避免,只在需要动态拼接 SQL 语句时才使用,并且需要特别注意安全性问题。在普通的 SQL 语句中,建议使用 #{} 占位符,以提高 SQL 语句的可读性、可维护性和安全性。

欢迎大家访问我的个人博客!

博客地址:个人博客

小崔同学24
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Mybatis下动态sql##和$$的区别讲解
08-26
今天小编就为大家分享一篇关于Mybatis下动态sql##和$$的区别讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
MyBatis#{}和${}的区别详解
09-01
mybatis和ibatis总体来讲都差不多的。下面小编给大家探讨下mybatis#{}和${}的区别,感兴趣的朋友一起学习吧
MyBatis #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1165
1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
Mybatis #和$
井底之蛙
03-16 1万+
mybatis的mapper文件,对于传递的参数我们一般是使用#和$来获取参数值。 当使用#时变量是占位符,就是一般我们使用java jdbc的PrepareStatement时的占位符?,所有可以防止sql注入 当使用$时,变量就是直接追加在sql,一般会有sql注入问题。 一个问题就是:在使用mybatis传递时间变量时,如果通过#方式获取变量值,可能会出现与数据库的字段的
MyBatis #{}和${}的区别是什么?
X1433316138的博客
02-28 1089
#{}是预编译处理,${}是字符串替换。 Mybatis在处理#{}时,会将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值; Mybatis在处理${}时,就是把${}替换成变量的值。 使用#{}可以有效的防止SQL注入,提高系统安全性。 #{} 1、#{}表示一个占位符号 相当于jdbc的?符号 2、#{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。 ${} 1、$ {}将传入的数据直接显示生成在sql。 Mybat...
Mybatis的 ${} 和 #{}区别与用法
热门推荐
j04110414的专栏
12-27 6万+
Mybatis 的Mapper.xml语句parameterType向SQL语句传参有两种方式:#{}和${} 我们经常使用的是#{},一般解说是因为这种方式可以防止SQL注入,简单的说#{}这种方式SQL语句是经过预编译的,它是把#{}间的参数转义成字符串,举个例子: select * from student where student_name = #{name}  预编译后,会动
浅谈mybatis的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
主要介绍了Mybatis#{}和${}传参的区别及#和$的区别小结 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
浅谈Mybatis #和$区别以及原理
08-18
主要介绍了浅谈Mybatis #和$区别以及原理,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
mybatis的#{}和${}
submorino的专栏
11-25 2381
mybatis的#{}和${} 1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1)   1)#{}为参数占位符?,即sql 预编译   2)${}为字符串替换,即sql 拼接 (2)   1)#{}:动态解析 ->预编译-> 执行   2)${}:动态解析 ->编译-> 执行 (3)   1)#{}的变量替换是在DBMS   2)${}...
Mybatis的$和#
sillyyyy的博客
05-08 2491
在SQL语句执行时,Mybatis会将$占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用$占位符可以在某些情况下提高SQL语句的性能,因为在预编译时不需要处理参数占位符。#用于预编译,表示参数占位符,例如:#{username}。在SQL语句执行时,Mybatis会将占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用#占位符可以有效地防止SQL注入攻击,因为Mybatis会将参数值转义后再替换占位符。使用哪种占位符取决于具体的需求,如果需要防止SQL注入攻击,则应该使用#占位符;
MyBatis之#{}与${}的区别
小异常的博客
03-11 216
本篇博客主要讲解的是 MyBatis 两种 动态 SQL 的语法:#{} 和 ${}。 相信大学在学习 MyBatis 的时候,都会使用到 #{},而对 ${} 没怎么用过和见过,那是因为现在 #{} 已经彻底替换了 ${},使用 ${} 太不安全了。
MyBatis的#和$区别
wdhouyigege的博客
07-13 266
1.#会将传入的数据解析成一个字符串,自动添加上双引号,$会将传入的数据直接显示在Sql语句如:select name,age from t_user where id = #{userId},传入参数111,则将sql解析为select name,age from t_user where id = “111”select name,age from t_user where id = ${u...
mybatis#{}和${}的区别详解
小盒子的博客
05-11 2754
一:在mybatis最主要的一个特性就是动态sql:         1、  程序员通过直接编写SQL语句,可以直接对SQL进行性能的优化;         2、  学习门槛低,学习成本低。只要有SQL基础,就可以学习mybatis,而且很容易上手;         3、  由于直接编写SQL语句,所以灵活多变,代码维护性更好。         4、  不能支持数据库无关性,即数据库
MyBatis${} 和 #{} 有什么区别
分享Java技术知识,共同成长进步!
09-14 5622
${} 和 #{} 都是 MyBatis 用来替换参数的,它们都可以将用户传递过来的参数,替换到 MyBatis 最终生成的 SQL ,但它们区别却是很大的,接下来我们一起来看。 1.功能不同 ${} 是将参数直接替换到 SQL ,比如以下代码: 最终生成的执行 SQL 如下: 从上图可以看出,之前的参数 ${id} 被直接替换成具体的参数值 1 了。 而 #{} 则是使用占位符的方式,用预处理的方式来执行业务,我们将上面的案例改造为 #{} 的形式,实现代码如下: 最终生成的 S
mybatis#和$的区别,使用#避免SQL注入
wjw_de_java的博客
10-08 312
#: <select id="selectPerson" parameterType="int" resultType="hashmap"> SELECT * FROM PERSON WHERE ID = #{id} </select> 参数符号: #{id} 这就告诉 MyBatis 创建一个预处理语句参数,通过 JDBC,这样的一个参数在 SQL 会由一个 “?” 来标识,并被传递到一个新的预处理语句,就像这样: // Similar JDBC code, N
Mybatis#和$的区别?
weixin_42061487的博客
08-26 365
Mybatis#和$的主要区别是: #{} 传入参数在SQL显示字符串,能够很大程度防止sql注入; ${} 传入参数在sql直接显示为传入的值,无法防止sql注入 动态sql是mybatis的主要特征之一,在mapper 定义的参数传到了xml之后,在查询之前mybatis会对其进行动态解析。提供了sql语法 #{}和${} mybatis的#和$的区别是什么 传入的参数在SQL显示不同 #传入的参数在SQL显示为字符串,会对自动传入的数据加一个双引号。 例如:
Mybatis的#{} 和 ${}区别、联系及用法
CJW的博客
04-13 1522
Mybatis的 #{} 和 ${}区别于联系 一般业务开发或学习时,最需要注意的是:当我们的数据库表名作为参数或者利用order by进行查询结果排序时需要使用${},其他情况尽量使用#{},能够防止SQL注入,反正就是一句话,除了特殊情况,能用#{}尽量用#{}。 1. 联系 #{} 和 ${}都能够使Mybatis实现动态传递参数; 2. 区别 作用:#{}直接给数据加增加一对儿引号,${}则是直接显示数据,数据本身是啥就是啥。 在动态获取id时,#{}的位置 id = ? ,是一个占位符.
mybatis#和$的区别
最新发布
06-07
MyBatis,#和$都是用于替换SQL语句的占位符的符号,但它们的处理方式不同。 #号表示占位符,通过预编译的方式将传入的参数值进行安全的替换,防止SQL注入攻击,同时将参数值转换为对应的JDBC类型。例如: ``...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小崔同学24

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值