mybatis

最新推荐文章于 2023-05-15 21:56:49 发布
最新推荐文章于 2023-05-15 21:56:49 发布
阅读量145 收藏
点赞数
分类专栏: 转载
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38375620/article/details/78893992
版权
#{}:相当于JDBC中的PreparedStatement 
$ {}:是输出变量的值 

简单说,#{}是经过预编译的,是安全的;${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。

MyBatis启用了预编译功能,在SQL执行前,会先将上面的SQL发送给数据库进行编译;执行时,如果入参为#{}格式的,将入参替换编译好的SQL中的占位符“?”;如果入参格式为${},则直接使用编译好的SQL就可以了。因为SQL注入只能对编译过程起作用,所以使用#{}入参的方式可以很好地避免了SQL注入的问题。

SQL注入

两条SQL,入参id的值传入“1 or userId=2”,入参pwd的值传入“111111”。以#{}格式传入入参后的执行sql: 

select * from user where userId=”1 or userId=2” and password = “111111”; 

以${}格式传入入参后的执行SQL: 

select * from user where useId=1 or useId=2 and password = 111111;

很显然,以${}格式传入入参后的执行SQL打乱了我们的预期SQL格式及查询条件,从而实现SQL注入。所以,除了order by 等需要传入数据库字段等的入参使用${},其他的尽量使用#{}。

预编译之前的 SQL 语句已经不包含变量了,完全已经是常量数据了。相当于我们普通没有变量的SQL了。

综上所得, ${ } 变量的替换阶段是在动态 SQL 解析阶段,而 #{ }变量的替换是在 DBMS 中。


这是 #{} 和 ${} 我们能看到的主要的区别,除此之外,还有以下区别:

  • #方式能够很大程度防止SQL注入。
  • $方式无法防止SQL注入。
  • $方式一般用于传入数据库对象,例如传入表名.
  • 一般能用#的就别用$.

所以我们在使用mybatis的时候,尽量的使用#方式

mybatis中#{}和${}的区别

1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成SQL时的值为order by "111", 如果传入的值是id,则解析成的SQL为order by "id".
  
2. $将传入的数据直接显示生成在SQL中。如:order by $user_id$,如果传入的值是111,那么解析成SQL时的值为order by user_id,  如果传入的值是id,则解析成的SQL为order by id.
  
3. #方式能够很大程度防止sql注入。
  
4.$方式无法防止SQL注入。

5.$方式一般用于传入数据库对象,例如传入表名.
  
6.一般能用#的就别用$.

MyBatis排序时使用order by 动态参数时需要注意,用$而不是#

字符串替换
默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用:
ORDER BY ${columnName}
这里MyBatis不会修改或转义字符串。

重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。

qq_38375620
关注
专栏目录
MyBatis最经典的20道面试题,你都会了吗?
weixin_44976692的博客
01-18 2万+
MyBatis是一款优秀的持久层框架,在Java开发中广受欢迎。下面是一些常见的MyBatis面试题,以及相应的案例分析,希望对你的学习和面试有所帮助。MyBatis是一款基于Java的持久层框架,它通过XML描述符或注解将对象与存储过程或SQL语句进行映射,实现了面向对象编程与关系数据库的映射。动态SQL是MyBatis中的一项强大功能,它可以根据条件判断动态拼接SQL语句,避免硬编码。例如,动态SQL可以在条件成立时插入WHERE子句:
Mybatis增强版MyBatis-Flex介绍
沉淀、分享、成长,让自己和他人都能有所收获!
08-14 3万+
本文介绍了 Mybatis-Flex,一个用于增强 MyBatis 的框架。相对于 MyBatis-Plus,Mybatis-Flex提供了一些显著的特点,如支持联表查询以及在Mybatis-Plus中收费的功能在Mybatis-Flex中是免费的。文章概述了 MyBatis-Flex 的功能特点,并深入介绍了联表查询的不同方案。
MyBatis
weixin_45984258的博客
12-25 3524
MyBatisMyBatis快速入门Mapper代理开发MyBatis核心配置文件配置文件完成增删改查注解完成增删改查动态SQL MyBatis快速入门 MyBatisMybatis 是一款优秀的持久层框架,用于简化JDBC开发 JDBC的缺点: 1、硬编码: 注册驱动 SQL与君 2、操作繁琐 手动设置参数 手动封装结果集 MyBatis本是Apache的一个开源项目iBatis,2010年这个项目由apache software foundation 迁移到google code,并改名
Mybatis
一份耕耘,一分收获
02-28 1883
尚硅谷2022Mybatis学习笔记 附带项目源码和md笔记
mybatis中大于等于小于等于的写法
热门推荐
chenxingde的博客
03-04 30万+
标准写法如下:大于等于 = ]]> 小于等于 sql如下: create_date_time = ]]> #{startTime} and create_date_time #{endTime}
MyBatisMyBatisMyBatis-Plus的区别
四季轮换叶,一路招摇胜
09-12 5万+
mybatis-plus 是 mybatis 的增强工具,在 MyBatis 的基础上只做增强不做改变,为简化开发、提高效率而生。
Mybatis 返回Map数据
菜鸟记录
03-30 3万+
Mybatis 返回Map数据
完美解决org.mybatis.spring.MyBatisSystemException: nested exception is org.apache.ibatis.reflec
05-15 7万+
org.mybatis.spring.MyBatisSystemException是MyBatis与Spring集成时可能出现的异常,主要原因是在MyBatis的配置或使用过程中出现了问题。解决此异常的方法包括以下步骤:
Spring+SpringMVC+Mybatis框架整合例子(SSM) 下载
07-21
Spring、SpringMVC和Mybatis是Java开发中最常用的三大开源框架,它们的整合使用,通常被称为SSM框架。这个框架组合提供了完整的后端服务解决方案,包括依赖注入(DI)、面向切面编程(AOP)、模型-视图-控制器(MVC...
idea插件MybatisX-1.6.1
最新发布
02-23
MybatisX是一款针对IntelliJ IDEA的高效MyBatis开发插件,版本为1.6.1。这个插件旨在简化MyBatis框架在IDEA中的使用,提高开发效率,帮助开发者快速完成与MyBatis相关的各种任务。下面将详细介绍这款插件的主要功能...
MybatisGenerate_代码生成_tkMybatis_mybatisgenerate_mybatis_
10-03
MybatisGenerate是一个强大的工具,主要用于自动化生成Mybatis相关的代码,以提高开发效率并减少手动编写重复性工作的负担。这个工具是基于tk.mybatis框架的,它整合了Mybatis的优秀特性,使得开发者能够更加便捷地...
MyBatis-Flex: 一个优雅的 MyBatis 增强框架
08-04
MyBatis-Flex: 一个优雅的 MyBatis 增强框架。很轻量,MyBatis-Flex 整个框架只依赖 MyBatis,再无其他任何第三方依赖。只增强,MyBatis-Flex 支持 CRUD、分页查询、多表查询、批量操作,但不丢失 MyBatis 原有的...
mybatis中文离线文档
04-30
MyBatis是一个优秀的Java持久层框架,它支持定制化SQL、存储过程以及高级映射。MyBatis避免了几乎所有的JDBC代码和手动设置参数以及获取结果集。MyBatis可以使用简单的XML或注解进行配置和原始映射,将接口和Java的...
mybatis的example
平凡的脚步也可以走完伟大的行程
12-20 5039
每个po类多了一个东西,就是xxxExample.java,这个类是给用户自定义sql使用的, 主要是对各种不同的条件来操作数据库 example类与实体类对应,用作动态查询example类与实体类对应,用作动态查询 Mybatis逆向工程会生成实例及实例对应的example(用于添加条件,相当于where后的部分) xxxExample example = new xxxEx
SpringBoot---测试---JPA找不到相对应参数的findOne方法
平凡的脚步也可以走完伟大的行程
03-22 1963
开发SpringBoot的DAO层之后,去测试的时候,发现findOne()这个方法一直报错,查看了对应的表字段名和实体类的属性都一致找了半天没找到是什么原因,最后查看博客才发现是是依赖的版本的问题<parent> <groupId>org.springframework.boot</groupId> <artifactId>spring...
JAVAWEB Shiro学习整理
平凡的脚步也可以走完伟大的行程
02-01 320
项目结构图LoginServletpackage com.shiro.servlet; import java.io.IOException; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; imp...
Javase的shiro练习
平凡的脚步也可以走完伟大的行程
02-01 314
package com.shiro.common; import org.apache.log4j.Logger; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.UsernamePasswordT
Spring sesurity 异常
平凡的脚步也可以走完伟大的行程
01-21 260
···Java org.springframework.context.ApplicationContextException: Unable to start embedded container; ----------------------------------- nested exception is org.springframework.context.Applicatio
Java的servlet知识点
平凡的脚步也可以走完伟大的行程
01-09 221
Cookie的简单介绍 Cookie是小段的文本信息。通过Cookie可以标识用户身份、记录用户名及密码、跟踪重复用户。 当客户端第一次访问服务器时,服务端会生成一个Cookie,通过Response响应返回给客户端,客户端将Cookie保存到本地某个指定目录中。当客户端再次访问服务端时,Cookie会跟着Request请求一起到服务器,服务器会先查找Cookie中记录的信息,返回相对
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值