实践mybatis中$和#的不同

最新推荐文章于 2024-10-05 12:07:50 发布
最新推荐文章于 2024-10-05 12:07:50 发布
阅读量182 收藏 1
点赞数 2
文章标签: java mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42216791/article/details/105789583
版权

被各大技术公众号推送的高级架构师的课程吸引着,说实话失忆馋了

#和$导致有什么区别呢

  • 我搜一下mybatis中#和$的区别,发现很多都说#{}可以防止sql注入,但是具体怎么防止,博主没说!实践是检验真理的唯一标准嘛,于是乎,失忆就自测了一把

她说:你可以吗?
失丶忆:试试就能行,争争就能赢。

测试#

  • controller
@ApiOperation(value = "测试$和#的区别")
@GetMapping("/getArticleByName")
public Result<ArticleEntity> getArticleByName(@RequestParam("name") String name) {
    return Result.success(service.getArticleByName(name));
}
  • service层
@Override
public ArticleEntity getArticleByName(String name) {
    return this.baseMapper.getArticleByName(name);
}
  • dao层
ArticleEntity getArticleByName(@Param("name") String name);
  • xml
<select id="getArticleByName" resultMap="BaseResultMap">
        SELECT
        *
        FROM
        article
        WHERE
        title = #{name}
</select>

  • 数据库中有两条数据
    在这里插入图片描述

  • 一切都准备好了,现在使用#来自测一把
    在这里插入图片描述

  • 观察一下sql,#是用?占位符,生成sql后再替换?号,这个时候sql已经不会发生改变了在这里插入图片描述

  • 可能你会问为什么要这么测,往下看吧
    在这里插入图片描述

  • 还是没有查询到数据,sql注入失败
    在这里插入图片描述

  • #在我们粗略的测试下坚持了下来,接下来就轮到$了

测试$

<select id="getArticleByName" resultMap="BaseResultMap">
        SELECT
        *
        FROM
        article
        WHERE
        title = ${name}
 </select>

在这里插入图片描述

  • 嗯,老弟,怎么回事,竟然报错了,说好的会防止替换,都能用,但报错是怎么回事。
    在这里插入图片描述
  • 它提示说没有测试这一列, 然后我把测试的内容换成了title
    在这里插入图片描述
  • 结果查询出来了两条
    在这里插入图片描述
  • 失忆这还没有测试sql注入呢,就填写了正常的字符串已经查出来所有了。那测一把sql注入吧
    在这里插入图片描述
  • 结果是全部查出来了
    在这里插入图片描述
  • 通过观察sql可以发现,字符串部分是成功的替换了,但是sql被修改了,这样就有sql注入的问题。
  • 因为${}不会给字符串添加引号,所有测试的时候我手动添加了引号

但是$真的就这么差嘛! 肯定不是

  • 现在有这样一个场景,我要查询所有文章,要能根据不同的列来排序
  • dao层
List<ArticleEntity> listArticle(@Param("column") String column);
  • xml
<select id="listArticle" resultMap="BaseResultMap">
        SELECT
        *
        FROM
        article
        ORDER BY
        #{column}
</select>
  • 使用#来测试一把
    在这里插入图片描述
  • 数据库中的数据
    在这里插入图片描述
  • 查询出来的数据
    在这里插入图片描述
  • 我们知道order by 模式是按照升序排的,应该查询出来category_id = 1的在前面。与我们预期的不一样。

来测一把$符号

<select id="listArticle" resultMap="BaseResultMap">
        SELECT
        *
        FROM
        article
        ORDER BY
        ${column}
</select>
  • 只把xml中#替换成了$符号,来看一下结果
    在这里插入图片描述
  • 在我们粗略的测试下,$通过测试,#挂了。

总结

  • #可以有效的防止sql注入,它是先用?占一个位置,生成sql后,执行的时候再进行替换,字符串会有" "
  • $是直接替换,也不会给字符串添加"", 常用于order by
  • 不要盲目了解#{}可以有效的防止sql注入,也要问问自己为什么
  • 各有各的使用场景
失忆老幺
关注
mybatis#与$的区别
测试架构师养成记的博客
06-19 135
前言 最近在写代码过程遇到一个问题,这里简单做下描述。本意想写如下这么一条SQL。 SELECT t.id, t.name, t.version, t.module, t.test_type, t.platform, t.test_case, t.test_group FROM UI_TEST_SUIT AS t WHERE t.id in (1,2); 库确实存在id为1,2的这两条记录,...
MyBatis使用$和#所遇到的问题及解决办法
09-01
MyBatis,$和#的使用是动态SQL的关键部分,它们决定了参数如何被处理和插入到SQL语句。下面将详细解释这两种符号的差异以及如何解决使用过程遇到的问题。 1. #{}与${}的区别: - #{ }:这是MyBatis的预...
Mybatis学习(四):Mybatis关系映射文件CRUD与参数处理
CodeWhite
08-08 729
写在前边: 今天给大家讲解Mybatis的关系映射文件的CRUD与参数处理 公众号:小白编码 文章目录Mybatis关系映射文件关系映射文件CRUDMySQL获取主键Mybatis参数处理单个参数:多个参数:使用命名参数:参数处理推荐使用方法:参数处理总结:#{}与${}的区别: Mybatis关系映射文件 mapper常用属性: namespace:名称空间;指定为接口的全类名 id:唯一标识 resultType:返回值类型 #{id}:从传递过来的参数取出id值 param.
Mybatis $与#的区别
帆_5021的博客
11-12 343
1 # 是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id =‘1’. 2 $ 是将传入的数据直接显示生成sql语句,eg:select id,name,age from student where id =${id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age
MyBatis#{}和${}的区别
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
08-13 5727
MyBatis这个强大的持久层框架,`#{}`和`${}`是两种常见的参数替换方式,它们在SQL语句的使用方式截然不同,并各自具有特定的应用场景和优缺点。
为什么Mybatis#{}和${}不同
weixin_45743816的博客
06-23 536
为什么Mybatis#{}和${}不同
深入理解MyBatis的#{ }和${ }占位符及参数传递过程
IT小辉同学
01-18 1130
MyBatis是一个广泛使用的持久层框架,它以其强大的数据库访问能力和灵活的SQL映射配置而著称。在MyBatis,#{ } 和 ${ } 是两种常用的占位符,用于构建动态的SQL语句。本文将深入研究这两种占位符的用法、区别,并详细探讨参数在MyBatis的传递和接受过程。通过本文的介绍,希望能够更深入地理解这两种占位符在MyBatis的应用和差异,并在实际项目选择合适的占位符来构建动态SQL语句。占位符,特别是涉及用户输入的地方,以确保SQL的安全性。方法的参数获取的。在实际项目,推荐使用。
关于mybatisllike模糊查询#和$的使用
热门推荐
长河的博客
10-14 14万+
mybatis经常要写到like 查询,以前从来没有遇到什么问题,突然遇到一个问题,找了好长时间没找到,最后找到了,是关于#和$的使用的,总结如下: name like 表达式 and falg=#{falg} 本次示例共两个条件,一个是name like 表达式, 还有flag相等,这个是使用#{}占位符,没有任何问题,关键问题就是 表达式的书写.下面来研究下表达式的...
mybatis plus的传参#{}与${}
weixin_43930851的博客
04-25 2145
java实践
Mybatis的#{}占位符
BLWY_1124的博客
08-01 1637
Mybatis配置SQL时,可以使用`#{}`格式的占位符来表示SQL语句的参数,在占位符的大括号
MyBatis(6)#{}和${}的区别
qq_43012298的博客
06-26 763
MyBatis,#{}和${}是用于在SQL语句嵌入参数的两种不同方式。它们的核心区别在于预处理和潜在的SQL注入风险。#{}
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis的#和$的区别 以及防止sql注入的方法
09-01
MyBatis,`#`和`$`在动态SQL的使用有着明显的区别,它们在处理传入数据的方式上有所不同,同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
mybatis文文档
04-19
MyBatis可以使用简单的XML或注解进行配置和原始映射,将接口和Java的POJOs(Plain Old Java Objects,普通的Java对象)映射成数据库的记录。 文档详细部分可能包括以下几个关键知识点: 1. **安装与配置**: - ...
Mybatis动态调用表名和字段名的解决方法
09-01
本文将深入探讨如何在Mybatis实现动态调用表名和字段名。 首先,了解Mybatis两种参数占位符的区别:`#{}`和`${}`。`#{}`被解析为预编译语句(PreparedStatement)的参数标记符,比如`#{name}`会被解析为`?`,这...
C语言 | 第十章 | 函数 作用域
最新发布
ZJC744575的博客
10-05 926
为完成某一功能的程序指令(语句)的集合,称为函数。在C语言,函数分为:自定义函数、系统函数(查看C语言函数手册)函数还有其它叫法,比如方法等,在本视频课程,我们统一称为 函数。返回类型 函数名(形参列表){执行语句...;// 函数体return 返回值;// 可选形参列表:表示函数的输入函数的语句:表示为了实现某一功能代码块函数可以有返回值,也可以没有, 如果没有返回值,返回类型 声明为 void。
JavaScript ArrayBuffer的读写与类型转换
白瑕 的博客
10-01 448
所有视图的基本单位是ArrayBuffer, ArrayBuffer只存储二进制格式的数据.ArrayBuffer不可直接读写, 必须通过视图(比如DataView)暴露的API.
Spring Cloud全解析:服务调用之OpenFeign集成OkHttp
Lxn2zh的博客
09-30 881
HTTP连接需要进行TCP三次握手,是一个比较耗时的操作,一般我们不直接使用HttpURLConnection,而是使用HttpClient/okHttp等支持连接池的客户端工具,以Feign集成OkHttp为例。OpenFeign本质是HTTP来进行服务调用的,也就是需要集成一个Http客户端。默认是HttpURLConnection方式,也就是jdk提供的最原始的那个。要开启OkHttp ,还需要在YML 添加开启配置项,默认是关闭的。使用的是Client接口来进行请求的。
spring-boot 整合 mybatis
m0_72168501的博客
09-29 553
spring boot 整合 mybatis
MyBatis3文用户指南及JavaDB实践
"MyBatis3_文用户指南(附JavaDB实例) 是一份详细的教程,旨在帮助文用户理解和使用MyBatis3框架。该指南由罗利辉翻译,...通过阅读和实践指南JavaDB实例,读者可以更好地掌握MyBatis3的用法,提高开发效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

失忆老幺

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值