mybatis中的#占位符和$拼接符的区别

最新推荐文章于 2022-09-14 20:55:33 发布
最新推荐文章于 2022-09-14 20:55:33 发布
阅读量747 收藏 2
点赞数 2
分类专栏: Java学习 mybatis 文章标签: mybatis java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45603855/article/details/119580923
版权

mybatis中的#占位符和$拼接符的区别


  为更好地解释mybatis中的#占位符和$拼接符的区别,这里对sql注入做一个简单说明。

一、sql注入

1、什么是sql注入

  SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。

2、sql注入示例

  首先定义一个sql字符串,来进行登录操作。

String sql = "select * from user where username=' "+userName+" ' and password=' "+password+" '";

  然后输入的用户名为'' or 1 = 1 --,密码为任意,那么这个sql就会变成下面这样

select * from user where username = '' or 1 = 1 -- and password= ''

  因为or 1 = 1所以前面的username条件会恒成立,在看后边由于--的存在让and password= ''被注释掉了,这样语句永远都能正确执行,用户能骗过系统直接登录。

二、#占位符和$拼接符的区别

  1. # 将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:where username = #{username},如果传入的值是123,那么解析成sql为where username = "123", 如果传入的值是zhangsan,则解析成的sql为where username = "zhangsan"
  2. $ 将传入的数据直接显示生成在sql中。如:where username = ${username},如果传入的值是123,那么解析成sql为where username = 123;如果传入的值是;drop table user;,则解析成的sql为:select * from user where username = ;drop table user;
  3. # 方式能够很大程度防止sql注入,$ 方式无法防止Sql注入;$ 方式一般用于传入数据库对象,例如传入表名。

三、mybatis如何防止sql注入

  例如:select * from user where username=? and password=?,不管输入什么参数,打印出的SQL都是这样的。这是因为mybatis启用了预编译功能,在SQL执行前,会先将上面的SQL发送给数据库进行编译;执行时,直接使用编译好的SQL,替换占位符?就可以了。因为SQL注入只能对编译过程起作用,所以这样的方式就很好地避免了SQL注入的问题。

四、总结

  在mybatis中,${xxx}这样格式的参数会直接参与SQL编译,从而不能避免sql注入攻击。但涉及到动态表名和列名时,只能使用${xxx}这样的参数格式。所以,这样的参数需要我们在代码中手动进行处理来防止sql注入。一般来说,能用#的就别用$ ,若不得不使用${xxx}这样的参数,要谨慎地做好过滤工作,来防止sql注入攻击。

一名普通的编程学生
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MyBatis#{}和${}的区别详解
09-01
MyBatis框架,`#{}`和`${}`是两种不同的占位符,它们各自有不同的用途和特性。了解它们的区别对于编写安全、高效的SQL语句至关重要。 首先,`#{}`是预编译参数的表示方式,它会被MyBatis转化为...
Mybatis#{}和${}传参的区别#$区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
mybatis拼接占位符区别
Vectory0213的博客
08-06 1592
占位符: 1.#{}占位符可以用来设置参数,如果传进来的是基本类型,也就是(string,long,double,int,boolean,float等),那么#{}里面的变量名可以随意写,什么abc,xxx等等,这个名字和传进来的参数名可以不一致。 2.如果传进来的是pojo类型,那么#{}的变量名必须是pojo的属性名,可以写成属性名,也可以写属性名.属性名。 拼接: 3.注意:#{...
mybatis#{}占位符${}拼接区别
qq_32534441的博客
01-25 667
mybatis做为一个轻量级ORM框架在许多项目使用,因其简单的入门受到了广大开发者的热爱。 #{}占位符:占位 使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且在使用#{}时形成的sql语句,已经带有引号,例,select * from table1 where ...
MyBatis#{}占位符${}拼接区别
泗水六年的博客
07-24 87
传入的参数在SQL显示为字串,#方式能够很大程度防止sql注入;$传入的参数在SqL直接显示为传入的值,$方式无法防止Sql注入。
占位符拼接区别——2017.08.16
weixin_30709809的博客
08-16 250
  占位符:先占住一个固定的位置,等着你往里面添加内部的号。在MyBatis:"#{ }"表示占位符,1 对于基本类型类型变量,#{ }变量名称可以随意填写 2 如果传入的是POJO类型变量,传入的必须是POJO对象的属性 拼接${ }字串原样拼接,1 如果传入的是基本类型变量,${ }必须填入value值 2 如果传入的是POJO类...
2mybatis(和占位符拼接区别)
xiaoxiaoniaoQ的博客
10-11 778
6.2.3. 占位符拼接区别 1.  类型处理: 占位符#{}传递参数时会做参数类型处理, 拼接${}传递参数时不会做类型处理只进行字串原样拼接 2.  安全性: ${}的原样拼接导致它存在安全漏洞,容易产生SQL注入风险 #{}的类型处理会对参数存在的SQL敏感字先转义然后再映射给SQL,这就不会影响原先的SQL,因此可以有效防止SQL注入。 3.  工作的应用: ...
浅谈mybatis#$区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
浅谈Mybatis #$区别以及原理
08-18
Mybatis是一款流行的持久层框架,它提供了两个占位符#$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #$区别Mybatis#$都是占位符,但是它们...
MyBatis#号与美元号的区别
08-31
MyBatis框架#号和美元号($)在动态SQL的使用有着显著的区别,这些差异直接影响到SQL语句的预编译、类型匹配以及安全性。 首先,#{}是MyBatis的预编译占位符。当使用#{变量名}时,MyBatis会进行预编译处理...
Mybatis占位符拼接区别与使用场景
shadow_zed的博客
05-01 1027
【MybBatis细节篇】MyBatis#{}和${}的区别
输入技术、输出想法
12-02 4427
MyBatis#{}和${}的区别#{} 和 ${} 的区别#{} 和 ${} 的实例:假设传入参数为 1#{} 和 ${} 的大括号的值单个参数的情形#{}${}多个参数的情形#{}${}#{} 和 ${} 在使用的技巧和建议 在MyBatis 的映射配置文件,动态传递参数有两种方式: 1、#{} 占位符 2、${} 拼接 #{} 和 ${} 的区别 区别1 #{} 为参数占位符 ?,即sql 预编译 ${} 为字串替换,即 sql 拼接 区别2、 #{}:动态解析 -> 预编译
SQL注入、占位符拼接
喜欢猪猪
06-03 3013
目录 一、什么是SQL注入 二、Mybatis占位符拼接 三、为什么PreparedStatement 有效的防止sql注入? 一、什么是SQL注入 官方: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQ..
#占位符$拼接
weixin_44120790的博客
09-03 268
区别#{ } 解析为一个 预编译语句(prepared statement)的参数占位符 ?作为参数不作为指令去执行,能防止sql注入; ${ } 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换,不能防止sql注入 sql 预编译:是数据库驱动在发送 sql 语句和参数给 DBMS 数据库管理系统之前对 sql 语句进行编译,这样 DBMS 执行 sql 时,就不需要重新编译。 动态解析:mybatis 在调用 connection 进行 sql 预编译之前,会对s
mybatis 拼接_关于 Mybatis$# , 你真的知道他们的细节吗?
weixin_39580715的博客
12-09 715
前言在JDBC,主要使用的是两种语句,一种是支持参数化和预编译的PrepareStatement,能够支持原生的Sql,也支持设置占位符的方式,参数化输入的参数,防止Sql注入,一种是支持原生Sql的Statement,有Sql注入的风险。在使用Mybatis进行开发过程,隐藏了底层具体使用哪一种语句的细节,我们通过使用#$告诉Mybatis,我们实际上进行的是怎么样的操作,需要对语句进行参...
MyBatis#{}占位符${}拼接的使用
pan_junbiao的博客
12-02 7414
1、关于#{}占位符 先来看以下的示例,该示例是MyBatis的SQL映射配置文件(Mapper配置文件),在该配置使用了#{}占位符。 <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" ...
7 MyBatis映射文件拼接
NeiHan2020的博客
06-04 215
7.1 占位符: 占位符的值插入到SQL时,会自动以单引号包裹内容. 格式: #{拼接名} 7.2 拼接: 拼接负责的值插入到SQL时,只是作为命令的拼接,不做其他处理 格式: ${拼接名} 要求: 拼接的值的来源可以为普通数据,实体对象,Map集合 若拼接的值来自普通数据,拼接的名称必须为value 若拼接的值来自实体对象,拼接的名称必须为属性名[提供setter] 若拼接的值来自Map集合,拼接的名称必须为键名. 总...
Mybatis#{}与${}占位符
qq_55112725的博客
09-14 717
Mybatis,使用#{}格式占位符,在底层实现时,是预编译的,先将sql语句拼接好,再将值替换到占位符处,不用考虑数据类型的问题,因为所有的数据会看成值。使用预编译处理机制是安全的,因为预编译的占位符处指挥认为是值,例如“a=1 or 1=1”只会被看作是值,orl连接词在sql语句不起作用,所以不会出现SQL注入问题。由于不是预编译的,字串、日期等类型的值需要添加一对单引号,否则,将被视为字段名、运算表达式等,由于是先代入值再执行编译相关流程,所以,代入的值是可以改变语义的,
mybatis 参数类型--不完整//与特殊# | $
愿世界和平
05-18 1473
……………………………………………………………………………………………………………………………………………………………………………………..红框处好像没什么用.. 因为在查询时,会根据引用名进行自动映射.当使用#号时,mybatis的映射器会对xml的sql元素进行预编译. 当使用时,则不会进行预编译.所以.可以借助时,则不会进行预编译. 所以.可以借助号在映射器进行sql拼接.但是,防止
mybatis #{}和${}的区别是什么
最新发布
05-12
MyBatis #{} 和 ${} 都是用来在 SQL 语句引用变量的,不过它们的作用是不同的。 - #{}:预编译处理,将传入的参数都转换成一个占位符“?”,然后将 SQL 语句和这些“?”一起发送给数据库,由数据库进行编译和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值