mysql中 ${param}与#{param}区别

最新推荐文章于 2022-09-08 13:13:23 发布
最新推荐文章于 2022-09-08 13:13:23 发布
阅读量827 收藏 2
点赞数
分类专栏: mysql 文章标签: mysql sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31137991/article/details/52510597
版权


${param}传递的参数会被当成sql语句中的一部分,比如传递表名,字段名

例子:(传入值为id)

order by ${param}

则解析成的sql为:

order by id


#{parm}传入的数据都当成一个字符串,会对自动传入的数据加一个双引号

例子:(传入值为id)

select * from table where name = #{param}

则解析成的sql为:

select * from table where name = "id"

为了安全,能用#的地方就用#方式传参,这样可以有效的防止sql注入攻击


sql注入简介

直接上了百度的例子,感觉一看就清晰明了


某个网站的登录验证的SQL查询代码为:
strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"passWord +"');"

恶意填入
userName = "1' OR '1'='1";
passWord "1' OR '1'='1";
时,将导致原本的SQL字符串被填为
strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"
也就是实际上运行的SQL命令会变成下面这样的
strSQL = "SELECT * FROM users;"
这样在后台帐号验证的时候巧妙地绕过了检验,达到无账号密码,亦可登录网站。所以SQL注入攻击被俗称为黑客的填空游戏。


_William__
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql $param与#param使用区别
09-08
主要介绍了mysql $param与#param使用区别,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Mybatis_#{param}和${param}的区别
Chill Lyn
12-28 269
#{param} 生成的sql将该参数使用?占位符替换,预编译后传入实际参数,使用PreparedStatement发送sql ${param}生成sql将该参数的值直接替换到该位置的,如果是字符串一定要添加’’ 使用${param}时,即使statementType使用PREPARED,也可能出现SQL注入 建议使用statementType="PREPARED"和#{param}组合防止...
详解MySql#{}和${}占位符
weixin_72125569的博客
09-08 4604
#{}和${}占位符 MySql处理sql语句过程 注入问题
mysql $lt_mongodb类似于mysql的 不等于语句$ne、包含in语句$in等
weixin_36439481的博客
01-27 233
1、$ne 不等于 举例:db.things.find( { key : { $ne : value } } );示例:查询状态不等于0的数据db.getCollection(‘alon’).find({“status”:{ $ne : 0 }});2、$in 包含 举例:db.things.find( { key : { $in :value } } );示例:查询状态为0和1的数据db.get...
mysql C API 文.zip
06-18
MySQL C API 是 MySQL 数据库系统提供的编程接口,用于在 C 语言环境MySQL 服务器进行交互。这个压缩包包含了 MySQL C API 的官方文文档,帮助开发者理解如何在 C 程序执行 SQL 查询、管理数据库连接、处理...
phpmysql数据库操作类.zip
07-11
本文将深入探讨PHPMySQL数据库操作类的设计与应用,以及如何利用此类高效地进行数据库交互。 首先,PHPMySQL数据库操作通常基于两种方式:MySQLi(Improved)和PDO(PHP Data Objects)。MySQLi是为PHP5设计...
使用mysql遇到的几个问题
09-11
例如,如果你在MSSQL可能会写成`CREATE PROCEDURE MyProc @param INT`,而在MySQL,这将变为`CREATE PROCEDURE MyProc (IN param INT)`。在调用存储过程时,也需要按照这个规则传递参数。 在调用存储过程时,...
《深入理解mybatis原理(十二)》 mybatis深入理解之#与$区别
pfnie的博客
11-19 1万+
一、介绍       mybatis 使用 Mapper.xml里面的配置进行 sql 查询,经常需要动态传递参数,例如我们需要根据用户的姓名来筛选用户时,sql 如下: select * from user where name = "Jack";上述 sql ,我们希望 name 后的参数 "Jack" 是动态可变的,即不同的时刻根据不同的姓名来查询用户。在 Ma
mysql学习笔记(一)之mysqlparameter
热门推荐
luquansen的专栏
02-23 2万+
mysql学习笔记(一)之mysqlparameter 在.net操作数据库的时候。 大家都喜欢用sqlparameter。 parameter是预编译的,可以加快速度,也可以防注入。 在使用mssql的时候用sqlparameter。 在使用mysql的时候使用mysqlparameters。 第一次使用mysql的时候,都经常犯一个错误 比如在使用mssql的时候,
badSQL,myBatis#$区别
揣金磊 的博客
12-18 274
badSQL,myBatis#$区别 在这里插入代码片#{}是预编译处理, $ {}是字符串替换。mybatis在处理#{}时,会将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值;mybatis在处理 $ {}时,就是把 $ {}替换成变量的值。使用#{}可以有效的防止SQL注入,提高系统安全性。 对于这个题目我感觉要抓住两点: (1)$ 符号一般用来当作占...
mysql $和#
心之所系的博客
03-14 3592
1.mybatis $的作用及使用规则  在mybatis,”${xxx}”这样格式的参数会直接参与sql编译,从而不能避免注入攻击。但涉及到动态表名和列名时,只能使用“${xxx}”这样的参数格式 2.mybatis$和#的区别  #xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql
mysql--mysql 的$和# 使用方法的区别
shawnyang2019的博客
10-22 1万+
有order by 的传值引起的问题:order by 后面不能用# 只能用$ 进行传值 <select id="queryServerPage" resultType="io.sportii.common.entity.pension.ServerEntity"> SELECT id, id as server_id,...
ibatis的$param$与#param#的区别
05-13 1386
问题提出背景:海信工作bas网元的模糊查询的bug解决过程。刚开始完全不知道模糊查询的机制,后来知道是like 运算符和%%等使用的问题,但是并不清楚拼接过程,有用$param$也有用#param#的实现模糊查询,不知道这两种哪种方案更好 问题回答时间:2014-5-12 15:56:33 简单而言##和$$的共同之处都是用来做SQL的动态参数的拼接,而不同的地方是##是会根据参数的类型做,而
sql ${}和#{}的区别
XuJiangDong
08-11 1万+
<span style="font-size:18px;">delete from ups_role_permission_dataparams where role_id = #{roleId,jdbcType=INTEGER}</span> 在这里用到了#{},使用#时:1、用来传入参数,sql在解析的时候会加上” “,当成字符串来解析 ,如这里 role_id = “
MySQL &lt; &gt; 等用法
yanhhuan的博客
09-28 1万+
mysql $lt_MongoDB与Mysql常用命令解释
weixin_36342428的博客
01-26 145
本文旨在介绍MongoDB,Mysql的常用命令:将MongoDB 和传统的关系型数据库的常用命令对照起来学习,更加便于记忆和理解。MongoDB是由数据库(database/repository)、集合(collection)、文档对象(document)三个层次组成。MongoDB集合对应关系型数据库里的表,但是集合没有列、行和关系的概念,这体现了模式自由的特点。传统的关系数据库一般由数据...
MySqlMySqlParameter的用法
万里归来少年心
09-29 1万+
在c#,向表person插入一条数据(表person包括两列:id和name),使用MySqlParameter定义表各列的值。 static void Main(string[] args) { string connectionString = "Server='localhost';Database='test';UId='root';Password='1...
Mybatis@Param的用法和作用详解
M_Jack的博客
03-15 1万+
用注解来简化xml配置的时候,@Param注解的作用是给参数命名,参数命名后就能根据名字得到参数值,正确的将参数传入sql语句我们先来看Mapper接口的@Select方法?1234567package Mapper; public interface Mapper { @Select("select s_id id,s_name name,class_id classid from stud...
MySQL@Param的使用
最新发布
09-28
MySQL,@Param是用于定义和引用用户变量的语法。用户变量是一种在会话期间存储和使用值的机制。@Param可以用于存储查询结果的某个列值,然后在同一会话的其他查询引用它。 下面是@Param的使用示例: 1. 定义...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值