mysql语法之--#与$符号关键字的用法(一)

最新推荐文章于 2023-06-10 17:34:19 发布
最新推荐文章于 2023-06-10 17:34:19 发布
阅读量5.2k 收藏 15
点赞数 11
分类专栏: mysql语法系列 文章标签: mysql# 防sql注入 注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31104067/article/details/78937440
版权

一、#与$ 的sql拼接区别

      1、${param}传递的参数会被当成sql语句中的一部分,比如传递表名,字段名

           例子:(传入值为id)

                    order by ${param} 

                    则解析成的sql为:

                     order by id

            #{parm}传入的数据都当成一个字符串,会对自动传入的数据加一个双引号

           例子:(传入值为id)

                   select * from table where name = #{param}

                   则解析成的sql为:

                  select * from table where name = "id"

二、#与$ 的安全性

       1、#能防止SQL注入而$不能


三、 sql注入简介

        如:某个网站的登录验证的SQL查询代码为:

           strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"passWord +"');"

          恶意填入    userName = "1' OR '1'='1"; passWord "1' OR '1'='1"; 时,将导致原本的SQL字符串被填为
       strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"
         也就是实际上运行的SQL命令会变成下面这样的
      strSQL = "SELECT * FROM users;"

这样在后台帐号验证的时候巧妙地绕过了检验,达到无账号密码,亦可登录网站。所以SQL注入攻击被俗称为黑客的填空游戏。

wxiaohe1
关注
  • 11
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python mysql 字段与关键字冲突的解决方式
12-20
解决字段与关键字冲突的方法是在Python使用反引号(`)来包裹字段名。反引号通常位于ESC键下方的键盘上,它允许我们将字段名作为字符串标量子来处理,使得MySQL能够正确识别它们。例如,如果我们有一个字段名为`...
mysql#和$的区别
qq_46657442的博客
08-08 590
mysql#和$的区别
MySQL数据库,从入门到精通:第四篇——MySQL常用的运算符及其用法
热门推荐
沉淀、分享、成长,让自己和他人都能有所收获!
06-10 2万+
本文主要分为三个方面,第一部分介绍MySQL的算术运算符,包括加、减、乘、除、求模等运算符的用法和注意事项。
《深入理解mybatis原理(十二)》 mybatis深入理解之#与$区别
pfnie的博客
11-19 1万+
一、介绍       mybatis 使用 Mapper.xml里面的配置进行 sql 查询,经常需要动态传递参数,例如我们需要根据用户的姓名来筛选用户时,sql 如下: select * from user where name = "Jack";上述 sql ,我们希望 name 后的参数 "Jack" 是动态可变的,即不同的时刻根据不同的姓名来查询用户。在 Ma
MySQL # 和 $ 的区别
CodingGirl_的博客
10-08 2883
MySQL # 和 $ 的区别
Mysql插入数据时对特殊符号的处理
折花刀的博客
10-15 2045
//对特殊符号的处理 value.replace("\\","\\\\"); value.replace("'","\\'"); sSql += "'" + value + "',";
mysql$和_在数据库,$和#代表什么意思?
weixin_39612332的博客
01-20 5996
#{}与${}1.#{}实现向prepareStatement的预处理语句设置参数值,sql语句#{}表示一个占位符。SELECT*FROMUSERWHEREid=#{value}使用占位符可以止sql的注入,在使用时不需要关心参数的类型,mybatis会自动的进行Java与jdbc的转换。#{}可以接受简单类型和pojo的属性值。如果parameterType...
《Java-面向对象程序设计基础》章:Java语法基础(与“方法”有关文档共49张).pptx
11-14
* protected:使得方法和属性能从与该类所在的包或该类的子类获取。 * 默认:使得方法和属性能从该类所在的包获取。 Java 基本数据类型 * 整数型:该组包括字节型(byte),短整型(short),整型(int),...
PHP语言入门教程-学习了PHP的基础语法、案例示例和进阶内容
最新发布
04-10
具体配置方法取决于使用的Web服务器类型。 - **Apache**: 需要在httpd.conf文件添加相关的LoadModule指令以及DirectoryIndex指令,使Apache能够加载PHP模块,并设置默认索引文件。 - **Nginx**: 在Nginx的配置...
php代码-PHP语法学习
07-15
9. **类和对象**:PHP支持面向对象编程,可以创建类,定义属性和方法,使用`new`关键字实例化对象。例如: ```php class Person { public $name; function __construct($n) { $this->name = $n; } } $p = ...
mysql $和#
心之所系的博客
03-14 3621
1.mybatis $的作用及使用规则  在mybatis,”${xxx}”这样格式的参数会直接参与sql编译,从而不能避免注入攻击。但涉及到动态表名和列名时,只能使用“${xxx}”这样的参数格式 2.mybatis$和#的区别  #xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql
mysql#和$得区别
Sunjin_shuai的博客
03-06 1155
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为or...
mysql的“$“和“#“
BigDevil_的博客
12-15 552
首先都是把参数进行sql语句的拼接 #{param} 会对自动传入的数据加一个双引号,传入的数据都当成一个字符串(这也正是它可以sql注入的原因) name="desc" select * from tb_user where name = #{name} select * from tb_user where name = "desc" ${param} 传递的参数会被当成sql语句的一...
MySQL安装脚本
锦衣
06-21 358
MySQL安装脚本 操作系统 MySQL版本 CentOS7.6最小化安装 mysql-5.7.31 IP 10.1.1.10 安装目录 /usr/local/mysql 数据目录 /usr/local/mysql/data 套接字 /tmp/mysql.sock 操作系统初始化脚本: #!/bin/bash # Desc: os_init () { hostnamectl set-hostname $name systemctl stop firewall
mysql字段里面添加特别符号
马sang专刊
06-04 1961
SELECT     concat( cast(t.tabID AS CHAR), '%' ) AS 'ID(%)' FROM tabName t
mysql#和$符号的区别
Richard_666的博客
06-23 1349
#相当于对数据 加上 双引号,$相当于直接显示数据。
mysql #和$的区别
qq_37361514的博客
07-04 2345
1、#和$的区别mybatis使用ParameterType向sql语句传参,在sql语句引用这些参数的时候,有两种方式#parameterName,$parameterName两者的区别:使用#parameterName方式引用参数的时候,Mybatis会把传入的参数当成是一个字符串,自动添加双引号。$parameterName引用参数时,不做任何处理,直接将值拼接在SQL语句。#是一个占位符,$是拼接符2、如何SQL注入使用#能够SQL注入,$不能避免注入攻击#的方式引用参数,mybati
新人一看就懂: #{} 和 ${} 的区别?
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
mysql $的用法_mysql查询用法
weixin_39909859的博客
01-27 990
MySQL提供标准的SQL模式匹配,以及一种基于象Unix实用程序如vi、grep和sed的扩展正则表达式模式匹配的格式。SQL的模式匹配允许你使用“_”匹配任何单个字符,而“%”匹配任意数目字符(包括零个字符)。在 MySQL,SQL的模式缺省是忽略大小写的。下面显示一些例子。注意在你使用SQL模式时,你不能使用=或!=;而使用LIKE或NOT LIKE比较操作符。为了找出以“b”开头的名字:...
1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server
09-09
版本 for the right syntax to use near '------' 这个错误的原因和如何解决它。 当出现错误1064 - You have an error in your SQL syntax时,这意味着您的SQL语法有错误。在具体的错误消息,会提示您在MySQL服务器版本的手册查找适当的语法使用方法。 根据引用和引用的描述,这个错误通常出现在SQL语句的某个位置附近,指示您在该位置使用了不正确的语法。这可能是由于缺少或多余的逗号、分号、引号等符号导致的。 要解决这个问题,您可以按照以下步骤进行操作: 1. 仔细检查错误消息所指示的位置,确保在该位置上的语法是正确的。确保使用适当的关键字、正确的语法结构和正确的参数。 2. 参考MySQL服务器版本的手册,查找与您使用的特定语法相关的正确用法。手册通常可以在MySQL官方网站上找到。 3. 检查语句的每个逗号、分号、引号等符号,确保它们的使用是正确的。删除多余的符号,添加缺少的符号,使语法结构正确。 总之,错误1064是由于SQL语法错误导致的。当出现这个错误时,您应该仔细检查错误消息指示的位置,并参考MySQL服务器版本的手册以获取正确的语法使用方法,同时确保语句符号使用正确。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值