#{}和${}的区别是什么?

最新推荐文章于 2023-07-13 18:00:00 发布
最新推荐文章于 2023-07-13 18:00:00 发布
阅读量7.2k 收藏 26
点赞数 6
分类专栏: mybatis
原文链接:https://my.oschina.net/u/4359742/blog/3314329
版权

 

osc_kf98pg0d

2020/01/20 14:45

阅读数 3.1K

动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。

面试题:#{}和${}的区别是什么?

1)#{}是预编译处理,$ {}是字符串替换。

2)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值;mybatis在处理 $ { } 时,就是把 ${ } 替换成变量的值。

3)使用 #{} 可以有效的防止SQL注入,提高系统安全性。

项目实战中使用,请阅读我博客中Java项目实战分类中的--MySQL中in('5,6,7')只取第一个id为5对应的数据的思考一文,谢谢。

要理解记忆这个题目,我觉得要抓住两点:

(1)$ 符号一般用来当作占位符,常使用Linux脚本的同学应该对此有更深的体会吧。既然是占位符,当然就是被用来替换的。知道了这点就能很容易区分$和#,从而不容易记错了。

(2)预编译的机制。预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。我们知道,SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。在某些特殊场合下只能用${},不能用#{}。例如:在使用排序时ORDER BY ${id},如果使用#{id},则会被解析成ORDER BY “id”,这显然是一种错误的写法。

真实项目中防止SQL注入:

Mabatis中模糊查询防止sql注入

Mysql:

select * from user where name like concat('%', #{name}, '%')   

Oracle:

select * from user where name like '%' || #{name} || '%'

SQLServer:

select * from user where name like '%' + #{name} + '%'  

以下内容是对上述知识的扩展和理解

1.防止恶义SQL语法注入实例

实例一

Stringsql="select*fromtb_namewherename='"+varname+"'andpasswd='"+varpasswd+"'";

如果我们把['or'1'='1]作为varpasswd传入进来.用户名随意,看看会成为什么?

select * fromtb_name = 随意' and passwd = ''or' 1'='1';

因为'1'='1'肯定成立,所以可以任何通过验证

实例二

select * from ${tableName} where name = #{name}

在这个例子中,如果表名为

 user; delete user; --

则动态解析之后 sql 如下:

select * from user; delete user; -- where name = ?;

--之后的语句被注释掉,而原本查询用户的语句变成了查询所有用户信息+删除用户表的语句,会对数据库造成重大损伤,极大可能导致服务器宕机。

2.预编译

定义:指的是数据库驱动在发送 sql 语句和参数给 DBMS 之前对 sql 语句进行编译,这样 DBMS 执行 sql 时,就不需要重新编译。

为什么需要预编译?

JDBC 中使用对象 PreparedStatement 来抽象预编译语句,使用预编译

1)预编译阶段可以优化 sql 的执行

预编译之后的 sql 多数情况下可以直接执行,DBMS 不需要再次编译,越复杂的sql,编译的复杂度将越大,预编译阶段可以合并多次操作为一个操作。

2)预编译语句对象可以重复利用

把一个 sql 预编译后产生的 PreparedStatement 对象缓存下来,下次对于同一个sql,可以直接使用这个缓存的 PreparedState 对象。

mybatis 默认情况下,将对所有的 sql 进行预编译。

 3.mybatis sql 动态解析

mybatis 在调用 connection 进行 sql 预编译之前,会对sql语句进行动态解析,动态解析主要包含如下的功能:

占位符的处理

动态sql的处理

参数类型校验

4.DBMS和DB的关系

DBMS数据库管理系统(databasemanagementsystem)是一种操纵和管理数据库的大型软件,是用于建立、使用和维护数据库(DB)。它对数据库进行统一的管理和控制,以保证数据库的安全性和完整性。用户通过DBMS访问数据库(DB)中的数据。

MySQL是一个关系型数据库管理系统。

数据库是“按照数据结构来组织、存储和管理数据的仓库”。是一个长期存储在计算机内的、有组织的、有共享的、统一管理的数据集合。

学习使我可乐
关注
  • 6
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈Mybatis #和$区别以及原理
08-18
主要介绍了浅谈Mybatis #和$区别以及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
面试突击76:${} 和 #{} 有什么区别
Chenhui98的博客
08-23 384
{}${}是直接替换,而 #{} 是预处理;2、使用场景不同:普通参数使用 #{},如果传递的是 SQL 命令或 SQL 关键字,需要使用${},但在使用前一定要做好安全验证;3、安全性不同:使用${}存在安全问题,而 #{} 则不存在安全问题。来源:https://juejin.cn/post/7134865815001628702。
新人一看就懂: #{} 和 ${} 的区别
CYK_byte的博客
03-01 9431
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
#{} 和 ${} 的区别
最新发布
weixin_45817985的博客
07-13 2864
#{}与${}
#{}与${}的区别
热门推荐
weixin_44863976的博客
09-08 1万+
#{}与${}的区别 区别 1. #{} 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符;而${}仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。 2. #{} 解析之后会将String类型的数据自动加上引号,其他数据类型不会;而${} 解析之后是什么就是什么,他不会当做字符串处理。 3...
#{}和${}的区别
qq_44980917的博客
10-02 2004
#{}和${}的区别一、区别汇总1.编译过程2.是否自动加单引号3.安全性二、区别说明1.${}2.#{}3.关于安全性三、如何选择#{}和${} #{}和${}这两个语法是Mybatis实现动态sql的基础,是为了动态传递参数而存在的。总体上他们的作用是一致的(动态穿参),但是在编译过程、是否自动加单引号、安全性、使用场景等方面有很多不同 一、区别汇总 1.编译过程 1.#{}是占位符:动态解析->预编译->执行 2.${}是拼接符:动态解析->编译->执行 #{}作为sql的
mybatis #{}和${}的区别是什么
weixin_30895603的博客
04-16 1564
#{}和${}的区别是什么?正确的答案是:#{}是预编译处理,${}是字符串替换。(1)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值。(2)mybatis在处理${}时,就是把${}替换成变量的值。(3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输...
浅谈mybatis中的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis中的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
主要介绍了Mybatis中#{}和${}传参的区别及#和$的区别小结 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
Mabitis中的#与$符号区别及用法介绍
08-31
主要介绍了Mabitis中的#与$符号区别,需要的朋友可以参考下
mybatis中#{}和${}的区别
Zhangsama1的博客
08-27 4548
​1:尽量使用#{},只要能使用#{}解决,尽量使用#{}​2:表名作为参数,使用order by排序的时候使用${}3:多参数的时候尽量使用@Param注解,@Param注解作用为给参数命名,命名后即可根据名字得到对应的参数值​。...
#{}和${}的区别及什么情况下必须使用${}
lilamei170607的博客
02-24 4025
一、两者区别。#{}:表示占位符,如果获取简单类型,#{}中可以使用value也可以使用其他名称;可以有效防止sql注入;设置参数时无需考虑参         数类型。      使用oracle查询条件是日期类型,如果使用#{}则:     select * from table where birthday >=#{birthday}${}:表示sql拼接,如果获取简单类型,${}中只能...
${}和#{}的区别
The best are water的博客
03-18 8830
1. 介绍 ${}:sql拼接符号(替换结果不会增加单引号‘’,like和order by后使用,存在sql注入问题,需手动代码中过滤) #{}:占位符号,可以防止sql注入(替换结果会增加单引号‘’) 2. 具体分析 动态 SQL 是 mybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析...
Mybatis常问:#{}与${}的区别
zjjcchina的博客
06-06 1968
查询到数据才可以是登录成功,否则表示登陆失败,但是会有这么一种情况,我们的SQL语句是由我们拼接的,如果用户故意输入可以让后台解析失败的字符串,这就是SQL注入,例如我们输入密码,输入 '''' ' or 1=1'' 这样,他会在后台进行拼接成select count(1) from table where username = 'username' and password = '' or 1=1;由结果可以看出,我们在没有密码的情况下依旧获取到了数据库的私密信息,由此可见${}存在很大的安全隐患。
#{}和${}的区别
weixin_50977434的博客
11-10 2405
简单明了实用
mybtais 中 #和$有什么区别
05-23
在 MyBatis 中,# 和 $ 符号都可以用于替换 SQL 语句中的参数,但它们的作用方式不同。 # 符号被用来指示一个占位符,表示在 SQL 语句中的参数。MyBatis 会将传入的 Java 对象转换成 JDBC 类型并将其安全地设置到预编译的语句中,以避免 SQL 注入攻击。因此,使用 # 符号可以防止 SQL 注入攻击。 $ 符号则是用来指示直接替换 SQL 语句中的参数。在替换时,MyBatis 不会对参数进行解析或处理,而是直接将参数的值替换到 SQL 语句中。因此,使用 $ 符号时需要注意 SQL 注入攻击的风险,因为传入的参数可能会被直接拼接到 SQL 语句中。 一般来说,建议使用 # 符号,以提高安全性。但是,在某些情况下,例如在动态 SQL 中,$ 符号可能更有用,因为它可以允许更灵活的 SQL 构建。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值