Mybatis的.xml文件中传参使用的#{}与${}的区别

最新推荐文章于 2024-06-15 22:22:43 发布
最新推荐文章于 2024-06-15 22:22:43 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: ${} #{} Mybatis sql注入风险 文章标签: ${} #{} Mybatis sql注入风险
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27623455/article/details/96131541
版权
#{} 同时被 3 个专栏收录
1 篇文章 0 订阅
订阅专栏
Mybatis
1 篇文章 0 订阅
订阅专栏
sql注入风险
1 篇文章 0 订阅
订阅专栏

在mybatis中#和$的主要区别是:
#传入的参数在SQL中显示为字符串,能够很大程度防止sql注入;
$传入的参数在SqL中直接显示为传入的值,无法防止Sql注入。

例如:

使用#{}:

select * from student where id = #{id}

当我们传递的参数id为 “1” 时,上述 sql 的解析为:

select * from student where id = "1"

使用${}:

select * from student where id = ${id}

当我们传递的参数id为 “1” 时,上述 sql 的解析为:

select * from student where id = 1

如果我们要做排序的话,使用#{}传入排序类型:asc、desc,就会出现一下问题:

ORDER BY time #{orderType}

以上的orderType传入参数如果为:asc或者desc,那么sql解析结果为:

ORDER BY time "asc" 或者  ORDER BY time "desc"

因为排序默认asc排序,所以相当于如下:

ORDER BY time "asc" asc 或者  ORDER BY time "desc" asc

所以就算传入desc也是无效的,传入的参数变成了time的别名

使用${}传入排序类型:asc、desc,那就不一样了,如下:

ORDER BY time ${orderType}

以上的orderType传入参数如果为:asc或者desc,那么sql解析结果为:

ORDER BY time asc 或者  ORDER BY time desc

这样就能正确的做排序了,但是这样存在sql注入的风险;
传入的参数直接拼接在sql上,就会当作sql脚本运行;
所以尽量使用#{}传参;
如果实在需要用到${}传参的话,代码编写中就需要注意避免sql注入;

#方式能够很大程度防止sql注入。
$方式无法防止Sql注入。
KaTeX parse error: Expected 'EOF', got '#' at position 27: …对象,例如传入表名等 一般能用#̲的就别用

mybatis中还有<![CDATA[]]>的用法,在该符号内的语句,将不会被当成字符串来处理,而是直接当成sql语句,比如要执行一个存储过程,或者大于号,小于号等,如:

<![CDATA[
	>=
]]>
暗中逆行
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
05.MyBatis学习笔记--Mybatis逆向工程(XML 方式)
java阳旭的博客
09-16 1295
MyBatis 的一个主要的特点就是需要程序员自己编写 SQL,那么如果表太多的话,难免会很麻烦,所以 MyBatis 官方提供了一个逆向工程,可以针对单表自动生成 MyBatis 执行所需要的代码(包括 mapper.xml、mapper.java、pojo 等)。一般在开发,常用的逆向工程方式是通过数据库的表生成代码。
Mybatis的 ${} 和 #{}区别与用法
YJB666的专栏
12-10 454
Mybatis的 ${} 和 #{}区别与用法 Mybatis 的Mapper.xml语句parameterType向SQL语句传参有两种方式:#{}和${} 注意:由于$是参数直接注入的,导致这种写法,大括号里面不能注明jdbcType,不然会报错 弊端:可能会引起sql的注入,平时尽量避免使用${...} 注意:因为#{...}解析成sql语句时候,会在变量外侧自动...
mybatis xml#与$的区别
ljz1315的博客
12-06 664
Mybatis 的Mapper.xml语句parameterType向SQL语句传参有两种方式:#{}和${} 我们经常使用的是#{},一般解说是因为这种方式可以防止SQL注入,简单的说#{}这种方式SQL语句是经过预编译的,它是把#{}间的参数转义成字符串,举个例子: select * from student where student_name = #{name} 预编译后,会动态...
MyBatis 参数传递详解
最新发布
FireFox1997
06-15 1470
本文介绍了 MyBatis 常见的参数传递方式,包括单参数、多参数、对象参数和动态 SQL 的参数传递。通过合理使用这些参数传递方式,可以灵活地构建各种复杂的数据库查询和操作。MyBatis 提供了丰富的参数传递机制,能够满足不同场景下的需求。掌握这些机制,能够大大提升开发效率和代码的可维护性。希望本文能帮助你更好地理解和使用 MyBatis 的参数传递功能。
mybatis#{}与${}区别
weixin_44903465的博客
11-22 88
1.#:会将传入的参数转换为字符串; $:将传入的参数原样显示在sql 2.$:会有sql注入的问题,#不会 3.大多使用#,如果要传入列名或表名用$ sql注入攻击:没有对用户输入的数据进行合法性校验,使应用程序存在安全隐患,用户可以提交一段数据库查询代码,通过程序的返回结果,来 获取某些他想得知的数据. 加粗样式 ...
MyBatisMyBatis#{}与¥{}的区别
AloneYueCSDN
11-08 2991
文章目录mybatis#{}与¥{}的区别 mybatis#{}与¥{}的区别 #{} 是预编译处理,像传进来的数据会加个" "(#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号)与JDBC一样创建prearedStatement参数占位符并安全设置参数(就像使用 ? 一样),安全迅速,转义字符,不会有SQL注入问题 1.${} 就是字符串替换。直接替换掉占位符。$方式一般用于传入数据库对象或固定变量,例如传入表名,例如字段名 2.使用 ${} 的话会导致 sql 注入。什么是 SQ
MyBatis动态传入表名
weixin_43368449的博客
01-08 2065
MyBatis动态传入表名 今天碰到一个问题,两个表关联之后需要取表A不存在的数据,但是之后又新增了一个问题,另外一个方法需要在两个表关联之后取表B不存在的数据。这个时候不想写重发的sql语句了,于是百度了mysql如何进行动态表名查询。 动态表名需要使用${},而非之前常用的#{}。至于两者之间的区别无非一个预编译,一个在编译之前进行sql语句的动态拼接。 ...
Mybatis框架 mapper.xml文件parameterType传递参数常用的几种方式.pdf
10-18
Mybatis框架,mapper.xml文件是定义SQL语句、映射规则以及参数传递方式的重要组成部分。正确地使用parameterType传递参数对于开发高质量的应用程序至关重要。以下是几种常用的parameterType参数传递方式以及#和$...
Mybatis框架 mapper.xml文件parameterType传递参数常用的几种方式
hlli86的博客
10-18 855
文章目录Mybatis框架 mapper.xml文件parameterType传递参数常用的几种方式1、使用依次顺序传参2、使用@Param注解传参3、使用HashMap传参4、使用Java Bean传参5、使用List传参6、使用数组传参7、mybatis的#和$的区别 Mybatis框架 mapper.xml文件parameterType传递参数常用的几种方式 1、使用依次顺序传参 //#{}里面的数字代表传入参数的顺序 public User queryUser(String userName,
根据表自动生成代码java, generatorConfig.xml配置文件
03-25
在Java开发过程,为了提高效率并减少重复劳动,开发者经常使用代码生成工具,根据数据库的表结构自动生成相应的Java实体类、Mapper接口、Mapper XML文件以及Service和Controller等层的代码。这种自动化的方式...
mybatis__使用#,$传入多个参数 && 返回数据 && 主键回写
qq_37432174的博客
07-13 858
Mybatis的底层是JDBC,关于JDBC的操作,我们都知道有PreparedStatement (预处理)和Statement这两个,PreparedStatement可以防止SQL注入的危险,而在Mybatis,传入参数的两种方式#{参数}、KaTeX parse error: Expected 'EOF', got '#' at position 6: {参数}。#̲对应的是采用Prep...
mybatisxml文件的${}和#{}区别
Chen Rong的博客
03-03 3527
在项目要实现所有业务批量提交的功能,实现方式,把表名,表主键字段当做参数传递,在xml文件全部使用的#{},导致解析的时候出现问题。 1 #是将传入的值当做字符串的形式, eg:select id,name,age from student where id =#{id},当前端把 id 值 1,传入到后台的时候,就相当于 select id,name,age from student whe...
mybatis xml 方法书写
qq_35568099的博客
05-04 519
1.定义公共sql:&lt;sql id="Base_Column_List" &gt; product_id, title, image, title_desc, price, create_time, update_time, category_id, seller_id, status, brand_id, image_banner, banner_width, banne...
mybatis的两种传参方式#{}和¥{}原理
laughitover
08-28 5477
之前没注意,最近公司测试提了个bug, 问题:输入框输入单引号会报错, 原因:单引号截断了sql 总结:#{}速度快,能防止sql注入,是占位符方式,先预编译,然后填充参数,字符串格式,相当于填空题 用户名=(___),参数只是下划线上的内容           ${}是直接拼接到语句上,执行语句,对于上面那道填空题 ,这种方式需要自己拼括号和参数,但是也可以拼接想执行的任何语句,也就是
mybatis xml#和$的区别
sandy_33555的博客
06-06 2106
select m.* from (select t.f_product_id,        t.f_product_show_name f_product_show_name,        ca.f_mc_show_name f_mc_show_name,       nvl(trim(wx.f_repail_status),' ') f_repail_status,       nv
关于实现mybatis order by 排序传递参数实现 问题记录
weixin_30594001的博客
11-21 609
一 问题场景:本人项目纯纯的后端系统 并且项目前端采用纯纯的原生js 实现 1)表格 通过查询列表数据放入到域 前段采用 for循环的方式实现遍历生成列表 2)分页实现本人是公司内部自定义实现的分页没有采用任何外部框架 分页实现是公司内部自定义封装的 要求:要点击列表表头字段实现按照表头信息排序 解决思...
spring Mybatis注解加判断
weixin_47063459的博客
12-28 872
spring Mybatis注解加判断 spring Mybatis注解加判断 一、用script标签包围,然后像xml语法一样书写 判断参数是否为空或者为null,没有参数则不执行该语句 @Select( { "<script>", "select * from teacher", "where 1=1", "<if test='teacher
Mybatis #与$的区别
u010046451的博客
06-14 429
Mybatis #与$的区别 动态 sql 是 mybatis 的主要特性之一,在 mapper 定义的参数传到 xml 之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 但是 #{} 和 {}&amp;amp;amp;amp;nbsp;在预编译的处理是不一样的。#{}&amp;amp;amp;amp;nbsp;在预处理时,会把参数部分用一个占位符&amp;amp;amp;amp;
Mybatis多参数传入问题
cczakai的专栏
11-29 881
package com.demo.sys.mapper; import java.util.List; import com.demo.sys.entity.Menu; public interface MenuMapper { public List queryRootMenu(String locale); public List queryChil
mybatisxml文件like
08-25
MybatisXML文件,可以使用两种方式来编写like查询语句。第一种是使用${}占位符,例如可以在XML文件使用name LIKE '%${name}%'来进行模糊查询,其name是一个变量,通过传参来替换${name}。 另一种方式是使用#{}占位符,例如可以使用address LIKE "%"#{address}"%"来进行模糊查询,其address也是一个变量,通过传参来替换#{address}。 在直接传参,可以将要查询的关键字直接拼接到查询语句,如%keyword%,然后将该查询语句作为参数传入Mybatis的映射文件。这样可以实现动态的模糊查询。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [mybatis xml 文件like模糊查询](https://blog.csdn.net/weixin_30268921/article/details/99451810)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [SSM框架的学习与应用-Java EE企业级应用开发学习记录(第一天)Mybatis的学习资料](https://download.csdn.net/download/m0_53659738/88235079)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

暗中逆行

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值