# 和 $ 的区别②

已于 2023-12-16 01:10:06 修改
阅读量1.1k 收藏 27
点赞数 35
文章标签: 数据库 服务器 linux
于 2023-12-15 02:57:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40841463/article/details/135007346
版权

上节博客说了使用 # 的时候,如果参数为 String ,会自动加上单引号

但是当参数为String 类型的时候,也有不需要加单引号的情况,这时候用 # 那就会出问题

比如根据 升序(asc) 或者 降序(desc) 查找的时候,加了单引号那就会报错

这个时候我们就只能使用 $ 

如果看不懂代码,就去看<<Mybatis 的操作(结合上文)续集>>,我这里为了简练一点就不多解释了

@Select("select * from userinfo order by id ${sort}")
    List<UserInfo> selectUserBySort(String sort);
 @Test
    void selectUserBySort() {
        log.info(userInfoMapper.selectUserBySort("asc").toString());
    }

使用 $ 才能正常运行 

还有一种情况不能使用 # ,那就是模糊查询 

进行模糊查询的时候也只能用 $

@Select("select * from userinfo where username like'%${username}%'")
    List<UserInfo> selectUserByLike(String username);

@Test
    void selectUserByLike() {
        log.info(userInfoMapper.selectUserByLike("java").toString());
    }

 有的人可能会觉得那我们在排序和模糊查询的时候使用 $ ,其他有需要引号的情况只要拼接上引号也可以使用 $ ,那我们就不用 # 了吗?

这是不可以滴,因为 $ 存在 SQL 注入的问题

打个比方 : 

select * from userinfo where username = 'admin';

若是此时把admin换成 'or 1='1  ,那就变成了

select * from userinfo where username = ''or 1='1';

(这样前面两个引号就会形成一对,后面两个引号形成一对,这就导致where后面的搜索条件变成username=0或者1=1,因为1=1肯定恒成立,这样运行出来的结果就是搜索到全部数据,这与我们的想法背道而驰)

那这肯定就不对了呀,这就是 SQL 注入

# 就不会存在 SQL 注入的问题

我们用代码进行验证看看,先验证 $

    @Select("select * from userInfo where username = '${username}'")
    List<UserInfo> selectByName(String username);
  @Test
    void selectByName() {
        log.info(userInfoMapper.selectByName("'or 1='1").toString());
    }

 很明显把所有数据都给查出来了,这是错误的

接下来我们试试 #

@Select("select * from userInfo where username = #{username}")
    List<UserInfo> selectByName(String username);
 @Test
    void selectByName() {
        log.info(userInfoMapper.selectByName("'or 1='1").toString());
    }

因为没有名为 'or 1='1 的数据,所以啥也没查出来,没问题

同样是加引号,为什么# 不会发生SQL注入的问题?

SQL 执行的过程为 : 1.语法解析 2.SQL优化 3.SQL编译

然后呢, # 是预编译SQL,将编译一次之后的SQL语句缓存起来了,后面再次执行的时候,省去了解析优化等过程,提高了效率,预编译SQL也可以说是一个模版,往里套数据就行.

比如 select * from userinfo where username = '_____';

预编译SQL就只给你留下了这个位置,你填进去之后就只能是 username 的参数

而即时SQL就是你传的参数是什么就现场进行拼接,拼出来之后再对这条语句进行上面三个过程

所以这就是为什么 # 不会发生 SQL 注入的原因

但是在进行排序的时候,只能使用 $ 的时候,发生SQL注入怎么办呢?

可以进行参数校验,只要不是 asc 和 desc 就不接收这个请求

模糊查询的时候使用Mysql的内置函数

@Select("select * from userinfo where username like CONCAT('%',#{username},'%')")
    List<UserInfo> selectUserByLike(String username);
 @Test
    void selectUserByLike() {
        log.info(userInfoMapper.selectUserByLike("java").toString());
    }

 

总结 # 和 $ 的区别 : 

其中之一就是预 编译SQL 和 即时SQL 的区别

    1)预编译SQL 的性能更高

    2)预编译SQL 不存在 SQL注入 问题

排序时不能使用 #

表名,字段名等作为参数时也不能使用 #

模糊查询时,如果使用 # 就需要搭配 Mysql 的内置函数 concat

实际开发中尽量使用 # ,然后使用 $ 的时候一定要考虑到 SQL 注入的问题

江鱼鳍
关注
  • 35
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CPLD开发板和FPGA开发板的区别
01-19
市面上尤其是学校里面可以看到Xilinx公司或者...  CPLD的连续式布线结构决定了它的时序延迟是均匀的和可预测的,而FPGA的分段式布线结构决定了其延迟的不可预测性。  ③ 在编程上FPGA比CPLD具有更大的灵活性。
SpEL之#和$的区别
zxx2096的博客
11-09 6453
https://www.cnblogs.com/larryzeal/p/5910149.html #{…} 用于执行SpEl表达式,并将内容赋值给属性 ${…} 主要用于加载外部属性文件中的值 #{…} 和${…} 可以混合使用,但是必须#{}外面,${}在里面,#{ '${}' } ,注意单引号,注意不能反过来 ①${ property:default_value } #...
MyBatis之动态SQL、#与$的区别和结果映射
weixin_74268571的博客
08-24 2596
MyBatis动态SQL的概念与常用元素,三种模糊查询的方式以及#和$的区别,Mybatis的结果映射---resultType与resultMap的区别
Mybatis中# 和 $ 的使用详解
小小默:进无止境
02-13 8909
在Mybatis的mapper.xml中经常看到这两个符号,其中 # 频率最高。 如下: &amp;amp;lt;insert id=&amp;amp;quot;insertUSer&amp;amp;quot; parameterType=&amp;amp;quot;User&amp;amp;quot; &amp;amp;gt; insert into c_user (name,age) values(#{name},#{age}) &
Spring @Value 用法小结,#与$的区别
不懂不懂
01-23 3301
原文链接:http://www.cnblogs.com/larryzeal/p/5910149.html 起因 一直的用法是 @Value("${jdbc.driverClass}") 这样,但在Spring官方文档里又看到 @Value("#{a.b}")的用法。 于是研究了下。 结论 @Value的值有两类: ① ${ property : defa
mybatis中#和$的区别
雅客
05-22 694
1.#{}用来传入参数①sql在动态解析的时候会加上" ",当成字符串来解析成为一个占位符‘?’;可以很大程度上防止SQL注入。2.${}用来传入参数①在动态解析的时候会用转换成字符串,拼接到SQL中显示;一般用于传入数据库对象,比如表名、列名;③不能防止SQL注入;注意:1、myBatis排序时使用order by,group by 动态参数时,需使用${}。          2、当用${...
mybatis中#与$的区别
vivid9527的博客
12-29 119
1、共同点 #和$都是用来取值的     ①参数传递普通类型(8大基本数据类型8大包装类。再加一个String)        #: 正常发送的sql语句 SELECT * FROM t_student WHERE id=?         $: 传递普通类型,它是要报错的,取不到值。     参数传递对象         #: 正常发送的sql语句 SELECT * FROM t...
java面试题 Mybatis中#和$的区别
樂小伍
10-16 1154
Mybatis中#和$的区别 https://www.cnblogs.com/wslook/p/9185448.html #{}:占位符号,可以防止sql注入(替换结果会增加单引号‘’),相当于 ? 占位符 ${}:sql拼接符号(替换结果不会增加单引号‘’,like和order by后使用,存在sql注入问题,需手动代码中过滤) 能使用 #{ } 的地方就用 #{ } 首先这是为了性能考虑...
${}和#{}的区别
plqwf19880902的博客
04-26 9233
1)#{}是预编译处理,$ {}是字符串替换。 2)mybatis在处理两个字符时,处理的方式也是不同的: ①、处理#{}时,会将sql中的#{}整体替换为占位符(即:?),调用PreparedStatement的set方法来赋值; 、在处理 $ { } 时,就是把 ${ } 替换成变量的值。 3)假如用${}来编写SQL会出现:恶意SQL注入,对于数据库的数据安全性就没办法保证了。以下是示例: 恶意SQL语法注入实例: String sql="select * from user wher
#{}与${}的区别
热门推荐
诗人密语
06-19 3万+
本文摘自三篇文章,觉得有用。 ※:PreparedStatement不允许在插入参数时改变SQL语句的逻辑结构。 ※:为什么它这样处理就能预防SQL注入提高安全性呢?其实是因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库已参数化的形式进行查询,当运行时动态地把参数传给PreprareSt...
如果区别电容屏和电阻屏?
01-20
我们的触屏是有分电阻屏和电容屏的,那你又知道电阻屏和电容屏有什么区别吗?你的手机又是什么屏的吗?下面我们就来看看究竟电容屏和电阻屏有什么区别:  1.电阻触摸屏  ①它们都是一种对外界完整断绝的事情情况...
稳压电源和开关电源的区别是什么
01-12
稳压电源有很多种,它的作用是把市电滤波后;稳定成各种电器和电路,所需的电压叫稳压电源。 稳压电源定义是能为... 磁放大器式交流稳压器。将磁放大器和自耦变压器串联而成,利用电子线路改变磁放大器的阻抗以稳
UML之类图和对象图
02-24
)类在很多方面和组件相同:(2)都可以实现一组接口(3)都可以参与依赖关系(4)都可以被嵌套(5)都可以有实例(6)都可以参与交互但是也会有一些区别:(1)类描述软件设计的逻辑组织和意图,组件描述软件设计的...
模拟电路和数字电路的区别、联系及实现方案
01-20
作为一位硬件工程师,必须面对的就是两个基本电路:模拟电路和数字电路。... 3、初级模拟电路主要解决两个大的方面:①放大、信号源。 4、模拟信号具有连续性。 ● 数字电路 数字信号:用数字信号
【hackmyvm】Slowman靶机
最新发布
woshicainiao666的博客
05-20 118
发现/secretLOGIN/login.html为登录地址,根据账号密码登录发现一个zip,但是需要密码。在FTP中得到的账号,爆破一下SSH。上传linpeas.sh文件,报一下。SSH爆破无果,试试mysql。得到用户名和加密的密码。
mysql事务(原理)
m0_74347016的博客
05-19 305
mysql事务原理
生产报表工具PI DataLInk 与 行列视之间的区别
2401_83701843的博客
05-17 245
行列视,全名“行列视生产数据应用系统”,行列视品牌所面对的业务范围远远超越了PIDatalink报表工具,他首先是一款本地部署的在线Excel文档管理系统,解决个人报表在线管理问题,其次,她和PIDataLInk一样,也是面向实时数据库报表需求的一套工具,其区别在于行列视品牌兼容国内外大多数实时数据库,也可以同时连接多个数据源,也就是她完全可以替代PI-DataLINk,同时也适用于其他品牌下的实时数据库系统;
MySQL存储过程添加二十万条数据日常练习
mi_mx的博客
05-17 300
【代码】MySQL日常练习。
isdecimal和isdigit的区别
05-23
s2 = '①③' # ①、、③是Unicode数字字符,但不是十进制数字字符 s3 = '12.345' print(s1.isdigit()) # True print(s1.isdecimal()) # True print(s2.isdigit()) # True print(s2.isdecimal()) # False ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值