mybatis中#和$比较、sql注入

最新推荐文章于 2024-08-02 16:18:07 发布
最新推荐文章于 2024-08-02 16:18:07 发布
阅读量316 收藏
点赞数
分类专栏: 数据库 文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37149892/article/details/107721393
版权

《目录》

《内容》

1.mybatis中#{}和${}

1.1 #{}和${}区别

案例:

delete from tab_user where uid = #{uid},jdbcType=INTEGER

sql解析分析:

  1. 上述案例中使用的是#{},sql在解析的时候会加上 " " ,当成字符串来解析 : uid= " uid "
  2. 如果用${},传入数据直接显示在生成的sql中,如上述案例,用uid = ${uid,jdbcType=INTEGER},那么sql在解析的时候值为uid = uid,执行时会报错;

具体区别:

  #{}:

  1. 使用预编译的方式将参数设置到sql语句当中(相当于占位符 ?)
  2. 底层使用的是原生jdbc中的prepareStatrment
  3. 能够在一定程度上防止sql注入的风险(无法避免%的问题

  ${}:

  1. 不适用预编译模式
  2. 去除相应的值直接拼装到sql语句当中
  3. 会有sql注入的安全问题

1.2 #{}和${}应用场景

  1. 大多数情况(如CRUD语句)使用 #{};
  2. 在一些原生jdbc不支持占位符的地方,我们就不能使用#{var}的形式去进行取值,这样会导致执行sql的时候报错,比如传入数据库对象(表名,列名),都需要我们使用${var}的形式直接取值进行字符串的拼接
select XXX from ${year}_${month}_XXX where id = XXX order by ${columnName}

2.sql注入

2.1 sql注入的原因
用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的实体字段中(例如,为了转储数据库内容给攻击者),大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。

2.2 #{}防止sql注入的底层原理
假设mapper文件为: 

<select id="getNameByUserId" resultType="String">
		SELECT name FROM user where id = #{userId}
</select>

对应的java文件为:

public interface UserMapper{
	String getNameByUserId(@Param("userId") String userId);
}

可以看到输入的参数是String类型的userId,当我们传入userId="34;drop table user;"后,打印的语句是这样的(不管输入何种userID,他的sql语句都是这样的):

select name from user where id = ?

底层原理:这就得益于mybatis在底层实现时使用PreparedStatement类进行预编译语句。预编译sql语句后,再用传入的userId替换占位符?就去运行了。不存在先替换占位符?再进行编译的过程,因此SQL注入也就没有了生存的余地了。
另外,PreparedStaement类不但能够避免SQL注入,因为已经预编译,当N次执行同一条sql语句时,节约了(N-1)次的编译时间,从而能够提高效率。

2.3 避免sql注入的方法

  1. 采用#{},但是在模糊查询时,用concat(’%’, #{}, ‘%’)
  2. 对传入参数进行预处理检查,比如对于上面的userId参数;或者代码白名单的方式限制传入参数(限制 sortBy 允许的值,如只能为 name, email 字段,异常情况则设置为默认值 name
<select id="getUserListSortBy" resultType="org.example.User">  
SELECT * FROM user  
<choose>    
	<when test="sortBy == 'name' or sortBy == 'email'">      
		order by ${sortBy}    
	</when>    
	<otherwise>    
	  order by name    
	</otherwise>    
 </choose>
 </select>
  1. 存储过程。存储过程(Stored Procedure)是一组完成特定功能的SQL语句集,经编译后存储在数据库中,用户通过调用存储过程并给定参数(如果该存储过程带有参数)就可以执行它,也可以避免SQL注入攻击
bwylco_
关注
专栏目录
mybatis的#和$使用和区别】
学无止境
02-27 865
mybatis的#和$使用和区别】
Mybatis#{}和${}的用法
热门推荐
li_w_ch的博客
11-17 1万+
1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。 比如, select * from student where student_name = #{studentName} 如果传入的值为xiaoming,那么解析成sql的值为student_name="xioming"。 2、${}将传入的数据直接显示生成在sql。 如 : select ${fieldNmae} from student where student_age = 18 此时,传入的参数作为要查询的字
MyBatis #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1275
1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
Mybatis实战:#{} 和 ${}的使用区别和数据库连接池
最新发布
LHY537200的博客
08-02 1527
{} 和 ${}#{} 和 ${} 在MyBatis框架都是用于SQL语句参数替换的标记,但它们在使用方式和处理参数值上存在一些显著的区别。特点1.1Interger类型的参数1.先看Interger类型的参数2.观察日志3.查看日志的输出语句我们输⼊的参数并没有在后⾯拼接,id的值是使⽤?进⾏占位. 这种SQL 我们称之为"预编译SQL"。4.我们把#{}改成${}5.再次查看输出日志信息可以看到, 这次的参数是直接拼接在SQL语句了。
MyBatis #{} ${}
weixin_43014205的博客
01-09 1380
#{} 表示一个占位符号 自动进行java类型和jdbc类型转换 可以有效防止SQL注入 可以接受简单类型或者pojo属性值 如果parameterType传输单个数据类型,#{}括号可以是value或其他名称   SELECT * FROM `customer` where cust_name like '%#{value}%';  SELECT * FROM `custom...
MyBatis #{ } ${ }
伏虎游侠的博客
10-31 202
    1、#{}和${}的区别是什么? 注:这道题是面试官面试我同事的。 答:${}是Properties文件的变量占位符,它可以用于标签属性值和sql内部,属于静态文本替换,比如${driver}会被静态替换为com.mysql.jdbc.Driver。#{}是sql的参数占位符Mybatis会将sql的#{}替换为?号,在sql执行前会使用PreparedStatement的参...
mybatis #{} ${}
weixin_47967397的博客
02-19 135
order by 后面必须用$ order by ${} ${}
浅谈Mybatis #和$区别以及原理
08-18
这两个占位符的使用场景和风险也不同,#号可以防止SQL注入,而$号则需要服务器端提供参数,前端可以用参数进行选择,避免SQL注入的风险。 Mybatis对#和$的处理 Mybatis对#和$的处理机制不同。在源码,我们可以...
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助...综上所得,在Mybatis下动态sql##和$$的区别是非常重要的,correctly使用#{ }和${ }可以避免SQL注入问题,并提高应用程序的安全性。
浅谈mybatis的#和$的区别 以及防止sql注入的方法
09-01
MyBatis,`#`和`$`在动态SQL的使用有着明显的区别,它们在处理传入数据的方式上有所不同,同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
MyBatis的#{}和${}
qq_45210164的博客
02-16 159
MyBatis的#{}和${}的不同 执行可发现二者的SQL执行语句不一样。说明一个是预编译,然后将参数设置进去,安全,没有SQL注入的安全问题 一个是SQL拼接,会有SQL注入问题
Mybatis的#{}和${}
qq_30177469的博客
05-12 261
Mybatis的#{}和${}的区别。先看下面这一段sql。 <update id="update"> UPDATE ${prefix}WF_PROCDEF_BILLTYPE SET proc_def_id = #{procDefId}, proc_def_key = #{procDefKey}, proc_def_name = #{procDefName}, biz_bill_type = #{bizBillType},.
mybatis的#{}和${}
nupter
02-25 173
mybatis的#{}和${} ${}一般用于传输数据库的对象,如表名、字段名等 #{}与${}的区别可以简单总结如下: #{}将传入的参数当成一个字符串,会给传入的参数加一个双引号,#{} 传参在进行SQL预编译时,会把参数部分用一个占位符 ? 代替,这样可以防止 SQL注入。 ${}将传入的参数直接显示生成在sql,不会添加引号,就是简单的字符串替换,并且该参数会参加SQL的预编译,需要手动过滤参数防止 SQL注入。 #{}能够很大程度上防止sql注入,${}无法防止sql注入 一般能用#的就别用
MyBatis的#{} 和 ${}
2301_76161469的博客
05-02 825
由于 ${} 存在 SQL注入的问题,因此,在能够使用 #{} 的情况下,我们尽可能选择使用 #{},而在需要使用 ${} 时,我们需要对用户输入的数据进行验证,确保其符合预期的格式和范围。当使用 ${} 时,由于没有对用户输入进行充分检查,而SQL又是拼接而成的,在用户输入参数时,在参数添加一些 SQL关键字,达到改变SQL运行结果的目的,也可以完成恶意攻击。当使用 ${} 时,由于参数直接拼接在SQL语句,而字符串作为参数时需要添加 '',而 ${} 不会拼接'',因此程序报错。
mybatis#{}与${}
妖月风的专栏
05-11 373
#{}实现的是向 prepareStatement 的预处理语句设置参数值,sql语句#{}表示一个占位符即?。 ${}是将参数值不加修饰的拼在sql,相当用jdbc的statement拼接sql,使用${}不能防止sql注入,但是有时用${}会非常方便。 使用占位符#{}可以有效防止sql注入,在使用时不需要关心参数值的类型,mybatis会根据参数值的类型调用不同的s
mybatis的#{}和${}
submorino的专栏
11-25 2440
mybatis的#{}和${} 1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1)   1)#{}为参数占位符?,即sql 预编译   2)${}为字符串替换,即sql 拼接 (2)   1)#{}:动态解析 ->预编译-> 执行   2)${}:动态解析 ->编译-> 执行 (3)   1)#{}的变量替换是在DBMS   2)${}...
mybatis #{} 和 ${}
即客星球的博客
12-19 412
简介: mybatis 有 # 和 $ 两种输出参数的符号,他们之间是有一些不一样的使用场景.. 首先来看一下啊 sql 语句 1 sql 语句 (1)使用 ${} sql select * from user u where u.name = '${name}' select * from user u where u.name = 'test' ${} 是直接填充值 (2)#{} ...
mybatis#和$
05-16
MyBatis 会自动将传递的参数值包装在一个预编译语句,可以防止 SQL 注入攻击。 $符号表示直接替换参数值,例如: ``` select * from user where id = ${id} ``` 在上面的示例,$id$ 将被替换为传递给 SQL ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值