mybatis动态传参#{}和${}的区别

已于 2022-06-20 14:24:21 修改
阅读量3.6k 收藏 2
点赞数 2
分类专栏: mybatis 文章标签: mybatis
于 2020-12-02 11:39:13 首次发布
原文链接:https://blog.csdn.net/siwuxie095/article/details/79190856
版权

mybatis动态传参#{}和${}的区别

#{}是PreparedStatement 可以防止sql注入
${}是Statement
详细请看下面这个帖子,很全面
https://blog.csdn.net/siwuxie095/article/details/79190856
这里说一下什么是sql注入问题

原因:

sql注入是一种常见的web漏洞问题,当前后端数据交互的时候,由于前端校验不严格,后端拿到了前端传入过来的数据直接拼接进sql语句,导致查询结果出错,这里举个例子.
当你要根据用户id这个主键值去查询用户的时候,正常的sql语句是这样的,假如id为1

select * from user where userid = 1

传入的值放前端传过来的数据,但是如果在前端输入 1 or 1=1
这样前端传过来之后后台拼接变成了

select * from user where userid = 1 or 1=1

这样就查询出来了所有的用户,造成了用户信息泄露的风险,这样的例子还有很多,这里就不一一举例.上述${}正是将参数拼接成sql语句

为什么#{}可以防止sql注入:

因为使用#{},相当于先将sql预编译,比如上述sql语句,首先进行预编译

select * from user where userid = ?

用问号将参数位置替代,这样整个语句的框架就搭好了,再将?替换成你传入的参数,如果传入参数依旧是1 or 1 = 1,这种方式不会将 or 1 = 1识别为一种条件,而是将
1 or 1 = 1整体识别为一种参数,当然查询结果也为0.

沐斜阳
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
新人一看就懂: #{} 和 ${} 的区别
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
详解mybatis #{}和${}的区别传参、基本语法
08-18
MyBatis传参方式 MyBatis提供了多种传参方式,包括非注解和注解两种。 非注解传参 1. 单参数: public User getUserByUuid(String uuid); SELECT * FROM t_user WHERE uuid = #{uuid} 2. 多参数: public ...
#{}与${}的区别
热门推荐
weixin_44863976的博客
09-08 1万+
#{}与${}的区别 区别 1. #{} 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符;而${}仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。 2. #{} 解析之后会将String类型的数据自动加上引号,其他数据类型不会;而${} 解析之后是什么就是什么,他不会当做字符串处理。 3...
#{} 和 ${} 的区别(JAVA)
最新发布
weixin_63356609的博客
06-20 1040
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
#{}和${}的区别是什么?
AKA_1234的博客
08-20 7260
#{}和${}的区别是什么? #{}:是预编译处理,可以防止SQL注入 ${}:是字符串替换 例如: 在Mybatis中当你进行数据库查询时SQL语句通过#{id}传值 <select id="SelecUserById" resultType="com.hzc.pojo.User" parameterType="int"> select *from user where id=#{id}; </select> 当你执行项目时,我们通过log4j打印日志出来可以看到 DEB
#{}和${}的区别
m0_54861649的博客
08-01 1712
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。因此我收集了一份《java开发全套学习资料》送给大家,初衷也很简单,就是希望帮助到想自学又不知道该从何学起的朋友,同时减轻大家的负担。{}没有这个功能,可以是sql手动拼接的,这里前后逻辑可能并不严密,但是sql入去最简单的例子就是这样。4.#{}的变量替换是在DBMS中、变量替换后,#{}对应的变量自动加上单引号。1.#{}是预编译处理,是占位符,${}是字符串替换,是拼接符。...
Mybatis中#{}和${}传参区别及#和$的区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Mybatis动态传参、日志记录、二级缓存.docx
04-25
Mybatis 是一个基于 Java 的持久层框架,它提供了动态传参、二级缓存和日志记录等功能。本文将对 Mybatis动态传参、日志记录和二级缓存进行详细介绍。 一、Mybatis 动态传参 Mybatis 提供了多种方式来实现动态...
总结--Mybatis传递参数的几种方法
04-28
Mybatis 传递参数的几种方法 Mybatis 中传递参数有多种方法,以下是其中的四种: 1. 传递单个参数 在 Mybatis 中,传递单个参数非常简单。可以直接将参数写在方法中,参数类型可以是 String,也可以是基本类型,...
MyBatis拦截器分页与动态修改SQL及其参数值
09-23
在这个主题中,我们将深入探讨如何利用MyBatis拦截器实现分页以及动态地修改SQL语句和参数值。 首先,我们关注的是"PaginationInterceptor.java",这是一个常见的分页拦截器实现。在MyBatis中,我们可以创建自定义...
#{}和${}
m1234ilu的博客
11-06 722
#{}表示一个占位符号,通过#{}可以实现preparedStatement向占位符中设置值,自动进行java类型和jdbc类型转换。#{}可以有效防止sql注入。 #{}可以接收简单类型值或pojo属性值。 如果parameterType传输单个简单类型值,#{}括号中可以是value或其它名称。 ${}表示拼接sql串,通过${}可以将parameterType 传入的内容拼接在sql中且不...
【ibatis】ibatis 中 $与#的区别
龙腾四海365的专栏
04-06 1603
ibatis 中 $与#的区别 我们在使用iBATIS时会经常用到#和$这两个符号。 一 .#与$区别说通俗一点就是          $中间的变量就是直接替换成值的          #会根据变量的类型来进行替换          比如articleTitle的类型是string, 值是"标题"的时候               $articleTitle$ = 标题
#{} 和 ${}的区别
阅后即焚
10-23 4662
#{} 和 ${}的区别 区别: 1. #是占位符, 会对SQL进行预编译,相当于?; $是做sql拼接, 有SQL注入的隐患 2. #不需要关注数据类型, MyBatis自动实现数据类型转换; ${} 必须自己判断数据类型 联系: 两者都支持@param注解, 指定参数名称, 获取参数值. 推荐这种方式 一般做参数传递,都会使用#{} 如果不是做预编译,而是做拼接sql, 会使用${}, 例如...
Mybatis动态传参时,使用#{}和${}的区别是什么?
06-09
MyBatis 中,`#` 和 `$` 都是用于参数的占位符,但是它们的作用是不同的。 `#` 是用来防止 SQL 注入攻击的,它会将参数值以安全的方式替换进 SQL 语句中,相当于是预编译的 SQL 语句参数。使用 `#` 可以有效避免...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值