#{}与${}

已于 2022-06-20 14:47:25 修改
阅读量102 收藏
点赞数
分类专栏: 基础知识 文章标签: sql 数据库 java
于 2022-06-05 09:47:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45515347/article/details/125128670
版权

#{}与${}

两者都是可以用来获取参数值的方式

#{}

占位符赋值,无论值为何,在sql拼接的时候都先用 ?占好位置,等数据库执行时再变成值

  • 使用占位符的方式进行字符串拼接,如果我们的字段是字符串类型的数据,会自动加上单引号
  • 代码执行经过:动态解析 预编译 编译 执行

在这里插入图片描述

${}

字符串拼接,本地拼接sql语句时就会将值做好拼接.

  • 如果我们的字段是字符串类型数据,我们需要手动添加单引号
  • 动态解析 编译 执行
    在这里插入图片描述

什么是占位符?

  • 占位符需要代码文件经过预编译,
  • java文件通过预编译成为class文件,可以更快的再jvm上进行执行。

${}的sql注入问题

  • 若在实操中未加单引号
  • 改变原本sql语句规则的操作,就是sql注入;如在原本搜索语句基础上加上一个删除语句

结论

所以常用#{},会自动添加单引号;
若使用${}而又忘记添加单引号则可能会造成sql注入问题

在这里插入图片描述

李本帅
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MyBatis底层实现(二)SQL注入之$和#
surpass0728的博客
06-14 1886
SQL注入是一种数据库攻击手段。攻击者通过向应用程序提交恶意代码来改变原SQL语句的含义,进而执行任意SQL命令,达到入侵数据库乃至操作系统的目的。注入类型有三种:基本类型   自定义类型    Map集合类型<select id="queryByUserName" resultMap="userResultMap" parameterType="String"> ...
sql注入介绍与实例操作( #{}和${})
weixin_43005654的博客
04-30 1966
sql注入介绍及实例操作(#{}、${})
一些特殊SQL使用Mybatis的#{}和${}注意点
神笔码农.的博客
10-18 2070
Mybatis对JDBC进行了进一步封装,使得我们可以更加便捷的使用Java操作数据库。#{}和${}在大部分情况下,#{}和${}都能相互替代,使用两者之一即可,更加推荐使用#{},因为可以防止SQL注入问题,但是由于#{}和${}本质上的不同,部分SQL语句使用#{}和${}需要格外注意。
QT使用占位符操作sql语句时,执行exec后会报错“Parameter count mismatch“的原因
最新发布
西行樱吹雪的博客
12-14 3308
QT开发数据库sqlite的过程中,如果使用占位符,则在执行exec()函数的时候,不可以带入具体的sql语句作为参数,否则会报错“Parameter count mismatch"。
sql注入修改
ray的博客
07-31 1525
in 标签 $ 修改为# 原语句: <if test="ids != null and ids != ''">and ID in (${ids}) </if> 修改后 <if test="ids != null and ids != ''">and <foreach collection="cdt.ids" index="index" item="item" open="(" separator="," close=")"> .
Mabitis中的#与$符号区别及用法介绍
08-31
一、`#`与`$`的区别 1. `#{}`:MyBatis将`#{}`视为PreparedStatement的参数标记符。当SQL语句中的`#{}`被解析时,它会被替换为一个问号`?`,成为一个预编译参数。例如,`select * from user where name = #{name};`...
浅谈mybatis中的#和$的区别
09-02
3. 安全性与性能: - `#`方式由于进行了预编译,所以可以防止SQL注入,更安全。 - `$`方式则不能防止SQL注入,因此在处理用户输入时应谨慎使用,或者在使用前确保数据已进行充分的验证和清理。 - 在性能上,`#`...
#和$的区别
01-06
### Struts2中#与$的区别及OGNL表达式的运用 #### 一、OGNL概述与Struts2中的角色 **OGNL**(Object-Graph Navigation Language)是一种强大的表达式语言,用于获取或设置Java对象图中的属性。在Struts2框架中,OGNL...
Shell-特殊变量 $0, $#, $*, $@, $?, $$和命令行参数
01-07
Shell特殊变量:Shell $0, $#, $*, $@, $?...被双引号(” “)包含时,与 $* 稍有不同,下面将会讲到。 $? 上个命令的退出状态,或函数的返回值。一般情况下,大部分命令执行成功会返回 0,失败返回 1。 $$ 当前Shell进
Shell $0, $#, $*, $@, $?, $$和命令行参数的使用
01-20
被双引号(” “)包含时,与 $* 稍有不同,下面将会讲到。 $? 上个命令的退出状态,或函数的返回值。 $$ 当前Shell进程ID。对于 Shell 脚本,就是这些脚本所在的进程ID。 命令行参数 运行脚本时传递给脚本的...
sql注入实例分析
weixin_30624825的博客
07-23 3444
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执...
SQL注入$和#的区别
热爱我的热爱
09-27 1771
#{ } 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符。 例如,sqlMap 中如下的 sql 语句 select * from user where name = #{name}; 解析为: select * from user where name = ?; 一个 #{ } 被解析为一个参数占位符 ? 。 ${ } 仅仅为一个纯碎的 string 替换,...
plt.rcParams参数设置---简介
qq_45515347的博客
05-07 5953
import matplotlib.pyplot as plt plt.rcParams['font.sans-serif']=['SimHei'] # 用来显示中文标签 plt.rcParams['axes.unicode_minus']=False # 用来显示负号 plt.rcParams['figure.figsize'] = (16.0, 10.0) # 调整生成的图表最大尺寸 plt....
inner join 和outer join的区别
qq_45515347的博客
06-26 3975
inner join 和 outer join的区别
c++解决全排列问题
qq_45515347的博客
05-07 1305
全排列问题 一:递归的方法解决 1.当不存在重复元素时` void print(int array[], int len) { printf("{"); for (int i = 0; i < len; ++i) cout << array[i] << " "; printf("}\n"); }//打印函数 //实现两数交换 void swap(int* ...
@RequestParam与@PathVariable
qq_45515347的博客
06-20 1080
@RequestParam与@PathVariable的差异
搭建多节点Linux环境
qq_45515347的博客
08-25 762
基于VMware 15 搭建多节点Linux环境 ,操作系统使用CentOS 7
HTML+CSS实现一个顶端title
qq_45515347的博客
05-27 404
HTML+CSS实现一个顶部title
汇编语言--散装知识点(1)
qq_45515347的博客
05-23 247
一.循环 (一) 在汇编语言中循环结构需要有三个部分:循环初始,循环体和循环控制,下面分别介绍: 1.循环初始:在循环前的一些操作,如对ECX置数确定循环迭代次数,对需要用的寄存器置零等 2.循环体:就如高级语言中需要循环的代码 3.循环控制:判断是否满足循环条件,不满足则顺序执行 (二).两种基础循环 1.label ~~ loop label 循环ecx次,每次循环先进行ecx-1操作,当ecx为零时,结束循环 (注:label 可以随意改变命名,但需要前后一致) 相当于 DEC ECX ;ecx减
C#-集合
qq_45515347的博客
06-01 142
1.ArrayList:动态数组,不限制元素个数和数据类型 实例化: ArrayList 名 = new ArrayList([容量参数]) 可以输入一个参数定义一个容量,默认容量为0 基本操作: .Add(数据):尾部增加数据 .Remove(object obj):根据对象名去除 .RemoveAt(int intex):根据索引去除 .Clear():清空 .Insert([数据],[位置]):指定位置插入数据 遍历: 可以通过for和foreach,foreach更方便一些 2.哈希表 Hasht
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值