面试常问:通过代码实践理解mybatis中的#和$区别及联系,一定要正确使用

最新推荐文章于 2023-07-19 08:31:43 发布
最新推荐文章于 2023-07-19 08:31:43 发布
阅读量538 收藏
点赞数 1
分类专栏: mybatis 数据库 文章标签: mysql mybatis java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36833673/article/details/106747899
版权

在mybatis的mapper.xml中,入参我们可以用#和$符号来取,那么,这两个有什么区别及联系呢,常说$容易带来sql注入风险,到底是怎么样的呢?今天,直接通过代码实践,看看两者有什么区别。

测试数据为:

 1:通过#取值,入参为studentId,代码如下:

<mapper namespace="com.example.demo.DAO.HelloWorldDAO">
    <select id="query" parameterType="String" resultType="student">
        select * from student where studentId = #{studentId}
    </select>
</mapper>

1)入参studentId如下图所示:

运行返回结果为:

2)入参studentId如下图所示:

运行返回结果为:

2:通过$取值,入参为studentId,代码如下:

<mapper namespace="com.example.demo.DAO.HelloWorldDAO">
    <select id="query" parameterType="String" resultType="student">
        select * from student where studentId = ${studentId}
    </select>
</mapper>

1)入参studentId如下图所示:

运行结果如下图:

2)入参studentId如下图所示:

运行返回结果如下图:结果跟预期的不同

以上测试了四种场景,可以看到其中三种场景结果跟预期相同。当用$取值,我们看到入参studentId=“15 or 1=1”的时候,竟然返回了表的全部数据,表中studentId没有为这个值的啊。出现这个结果,就是我们常说的sql注入,通过一些恶意的命令,破坏数据、获取关键信息等。那么,我们应该如何避免这种现象的发生呢?小伙伴看到了上面当用#取值时,即使拼接恶意命令,对返回的数据没有影响,完成了正确的响应,有效的避免了sql注入的风险。

既然$取值的时候,存在sql注入风险,那么$什么时候可以用呢?like模糊查询、order by等场景可用$取值。

总结:1:#可以有效的防止sql注入,$不能防止sql注入;

           2:#预编译是采用占位符的方式?,$则是字符串值替换。

知识就是要不断的学习,不断的复习,才会记忆的更加的深刻。加油,美好的风景一直在路上。

忘忧人生
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis使用...
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
MyBatis#和$的符号区别
严文文 Chris
09-02 703
mybatis使用Mapper.xml里面的配置进行sql查询,经常需要动态传递参数,例如,我们根据用户的姓名来删选用户是,sql如下: Select * from user where name=“Jack”; 上述sql,我们希望name的参数jack是动态可变的,既不同的时刻根据不同的姓名来查询用户,在Mapper.xml文件使用如下的生气了可以实现动态传递参数 name: Se...
mybatis的#号与$符号的区别
xiaoxiaoshanzhai的专栏
03-01 210
mybatis的#号与$符号的区别
一文解惑mybatis的#{}和${}
一个菜鸡的博客
07-19 5186
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
Mybatis #和$的区别详解
Bradley的博客
08-11 2536
代码分析: 下列代码用到的是${}写法 通过这里我们看到${}在动态解析时候,会传入参数字符串(也就是说只是将参数拼接成字符串) 我们再看#{}这种写法 此时我们再看SQL语句变成了占位符(?) 总结: #相当于对数据加上双引号,$相当于直接显示数据 #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成 sql 时的值为 order by “111”, 如果传入的值是 id,则解析成的 sql 为 order.
Mybatis 在传参时,${} 和#{} 的区别
weixin_34275734的博客
09-13 1041
  介绍     MyBatis使用parameterType向SQL语句传参,parameterType后的类型可以是基本类型int,String,HashMap和java自定义类型。     在SQL引用这些参数的时候,可以使用两种方式#{parameterName}或者${parameterName}。 #{}     #将传入的数据都当成一个字符串,会对自动传...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。...在面试或日常开发,了解这些基本概念和最佳实践,有助于提升代码质量,避免潜在的问题。
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
MyBatis ${}和 #{}的正确使用方法(千万不要乱用)
08-18
MyBatis框架,${} 和 #{} 是两种不同的参数占位符,它们的使用方式和作用有明显的区别,对于SQL语句的安全性和效率有着重要影响。 1. #{} #{} 是预编译处理的方式,也被称为参数绑定或者预处理。在处理 #{ } ...
Mybatis的#{}和${}的区别面试常问
爱打篮球爱折腾的程序猿
05-14 285
1、#{}是预编译处理,${}是字符串替换。 2、Mybatis 在处理#{}时,会将 sql 的#{}替换为?号,调用PreparedStatement 的 set 方法来赋值; PreparedStatement ps = conn.prepareStatement(sql); ps.setInt(1,id); 3、Mybatis 在处理$ {}时,就是把${}替换成变量的值。 Statement st = conn.createStatement(); ResultSet rs = s.
mybatis # 号和 $ 符的区别
Do Re Mi 的博客
11-22 2080
mybatis#号和$符的区别? 区别 1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'. 使用#可以很大程度上防止sql注入。(语句的拼接) , 为什么#可以防止sql注...
Mybatis使用${}和使用#{}
站在墙头上的博客
03-11 6986
Mybatis${}和#{}的区别1、使用#{}2、使用${}3、总结 印象一直认为使用Mybatis肯定能防止sql注入,前两天才发现我太天真了。防止sql注入也是有条件的,这我们就要了解下Mybatis${}和#{}的使用了。 1、使用#{} Mybatis在对#{}进行预处理时,会把#{}处理成占位符,实际执行的时候才会把参数替换进去,相当于jdbc的PreparedStatement...
面试Mybatis的$和#区别
hai1991yu的博客
06-16 1161
Mybatis是如何做到sql预编译的呢?其实在框架底层,是JDBC的PreparedStatemen类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的sql语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行同一个sql时,能够提高效率。原因是sql已编译好,再次执行时无需再编译。#{}:相当于jdbc的PreparedStat...
mybatis面试点|#和$的区别
微笑的小小刀
09-26 147
开头说两句小刀博客:https://www.lixiang.red小刀公众号: 程序员学习大本营问题详情在我们拼接mysql的语句时, 通常会有大佬提醒我们,要注意 #和$符号的使用:...
分分钟让你认识MyBatis
那么好,
03-28 1109
MyBatis是支持普通SQL查询,存储过程和高级映射的优秀持久层框架。具体概念,想要跟多了解可以去问度娘。此处不多言。   最近在开发屋祺的项目,使用的持久层框架是MyBatis使用XML文件直接映射数据库的记录,特别方便。   既然是使用xml文件直接映射数据库的记录,那么我们要先将数据库创建好。下面先简单的创建一个数据库,里边有一张usrs表.(我使用的是mysql数据库。)
Mybatis-快速上手及其原理-了解什么是Mybatis(一)
weixin_43776652的博客
05-28 265
什么是Mybatis: Mybatis是支持普通SQL查询,存储过程和高级映射的优秀的持久层框架,Mybatis几乎消除了几乎所有的JDBC代码和参数手工设置及对所有的JDBC和参数的手工设置及对结果的检索,Mybatis可以使用简单xml或注解用户配置和原始映射,将接口和Java的POJO映射成数据库的记录 主流持久层框架比较: jdbc,mybatis,hibernate各自优缺点及区别 j...
#{}和${}的区别
limts的博客
07-01 495
#{}和${}的区别
mybatis#和$符号的区别
清行陌华的博客
02-23 2228
mybatis#和$符号的区别 #{} 使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement时,sql语句的参数会用?作占位符,可以防止sql注入。 使用#{}时形成的sql语句,组成sql语句的时候把参数默认为字符串,带有引号,例: select * from student where id=#{id} 调用这个语句时可以通过后台看到打印出的sql...
mybatis#和$的区别
最新发布
08-06
### 回答1: MyBatis 是一款开源的持久层框架,用于简化 Java 应用程序数据存储层的开发。它使用简单的 XML 或注解配置和映射原语,将接口和 Java 的 POJO(Plain Old Java Object,普通 Java 对象)映射到数据库的记录。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映射原语,将接口和 Java 的 POJO 映射到数据库的记录。 ### 回答2: MyBatis是一个开源的持久层框架,它可以与关系型数据库进行交互。在使用MyBatis时,我们需要定义一个映射文件,这个映射文件定义了数据库表与Java对象之间的映射关系。 在映射文件,我们可以使用SQL语句来进行数据库的操作,包括增删改查等。MyBatis提供了丰富的标签来方便我们编写SQL语句,例如: - select标签用于查询操作,我们可以指定查询条件、排序方式等。 - insert标签用于插入操作,我们可以指定插入的字段和值。 - update标签用于更新操作,我们可以指定更新的字段和条件。 - delete标签用于删除操作,我们可以指定删除的条件。 除了上述标签外,MyBatis还提供了动态SQL的支持,可以根据不同的条件决定是否执行特定的SQL语句块。这使得我们可以灵活地构建复杂的SQL语句,满足各种需求。 在使用MyBatis时,我们需要配置数据源和SqlSessionFactory,数据源用于连接数据库,SqlSessionFactory用于创建SqlSession,通过SqlSession我们可以执行具体的SQL操作。 MyBatis还提供了事务管理的支持,可以确保数据库的一致性。我们可以通过配置来指定事务的隔离级别、提交方式等。 总的来说,MyBatis是一个功能强大、灵活易用的持久层框架,它可以帮助我们更加方便地进行数据库操作。无论是简单的查询还是复杂的多表关联,MyBatis都能提供满足需求的解决方案。 ### 回答3: MyBatis是一种功能强大的开源持久化框架,用于与关系型数据库进行交互。它提供了一种将 SQL 语句从代码分离出来的方式,使得开发人员可以更好地管理和维护 SQL 语句。 MyBatis的工作原理是通过配置文件来绑定 Java 对象和数据库表,从而实现数据的增删改查操作。在配置文件,我们可以定义各种 SQL 语句,并通过注解或xml方式将其与 Java 方法绑定起来。这样,我们就可以通过调用方法,来执行相应的 SQL 语句。 使用MyBatis时,我们首先需要配置数据源,并将其配置到MyBatis的配置文件。在配置文件,我们还可以配置一些 MyBatis 的全局属性,如类型别名、数据库方言等。 在代码,我们可以通过编写相应的映射接口和映射文件来完成数据的访问。映射接口的方法应该与映射文件定义的 SQL 语句一一对应,通过调用方法来执行相应的 SQL 语句。 MyBatis还提供了强大的动态 SQL 支持,可以根据不同的条件生成不同的 SQL 语句。这样,我们就可以根据具体的业务需求动态地拼接 SQL 语句,从而提高 SQL 的灵活性和可复用性。 总的来说,MyBatis是一种简单易用、灵活高效的持久化框架,广泛应用于 Java EE 开发。它能够帮助开发人员简化数据库访问的工作,并提升开发效率和系统性能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值