sql注入、Mybatis中的#{参数}和${参数}

于 2021-08-08 23:02:24 发布
阅读量858 收藏
点赞数 1
分类专栏: JavaEE 数据库 文章标签: mybatis mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45859087/article/details/119522111
版权

sql注入、Mybatis中的#{参数}和${参数}

sql注入概述:

针对SQL注入的攻击行为可描述为:在与用户交互的程序中(如web网页),非法用户通过可控参数注入SQL语法,将恶意sql语句输入拼接到原本设计好的SQL语句中,破坏原有SQL语法结构,执行了与原定计划不同的行为,达到程序编写时意料之外结果的攻击行为,其本质就是使用了字符串拼接方式构造sql语句,并且对于用户输入检查不充分,导致SQL语句将用户提交的非法数据当作语句的一部分来执行,从而造成了sql注入

有关sql注入产生的原理要满足以下条件:
1.程序编写者在处理程序和数据库交互时,使用了字符串拼接的方式构造SQL语句
2.不安全的数据库配置,比如对查询集不合理处理,对sql查询语句错误时不当的处理,导致其错误信息暴露在前端
3.过于信任用户在前端所输入的数值,没有过滤用户输入的恶意数据,且未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中,直接把用户输入的数据当做SQL语句执行,从而影响数据库安全和平台安全。

mybatis中的#{参数} 和 ${参数}

MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。
动态 sql 是 mybatis 的主要特性之一,在mybatis中我们可以把参数传到xm

最低0.47元/天 解锁文章
保护眼睛
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
MyBatis-- 浅谈SQL #、$参数的动态解析过程
JustinQin
06-13 1492
目录 一、学习背景 二、语句过程(Mybatis) 三、过程分析 3.1 sql动态解析 3.2sql 预编译 3.3 DBMS(执行) 四、sql字符串拼接 4.1 ${}写法 4.2 #{}写法 五、引号问题 5.1 #{}带引号 5.2 ${}不带引号 六、sql注入问题 实例1:字段名注入 实例2:表名注入 七、总结 学习资料 引号说明 一、学习背景...
sql注入介绍与实例操作( #{}和${})
weixin_43005654的博客
04-30 1948
sql注入介绍及实例操作(#{}、${})
mysql存储过程详解以及在mybatis执行存储过程
北眼的博客
05-18 622
1.存储过程简介 Mysql储存过程是一组为了完成特定功能的SQL语句集,经过编译之后存储在数据库,当需要使用该组SQL语句时用户只需要通过指定储存过程的名字并给定参数就可以调用执行它了,简而言之就是一组已经写好的命令,需要使用的时候拿出来用就可以了。 储存过程是一个可编程的函数,它在数据库创建并保存。它可以有SQL语句和一些特殊的控制结构组成。当希望在不同的应用程序或平台上执行相同的函...
Mybatis 执行入的sql语句
Laichilueng的博客
08-07 2万+
在项目开发,需要根据具体业务逻辑动态拼接sql语句,那么我们可以将动态拼接好的sql语句mybatis,这样便能最大限度将sql掌握在自己手里。
mybatissql语句的#和$
hangshao的博客
03-14 878
一直写mybatis的sql语句,当时想只要实现它的功能就行了,也没过多的去理解; 首先我们大家都知道#和$都是用来值的,但他们之间是怎么区分的呢?什么时候用哪个呢? 1、#将入的数据都当成字符串,执行sql时会对入的数据自动加上引号,如:where time like concat (#{time},'%'),如果入的值为2016-10-1,解析为sql时则为where time l
Mybatis#{}和${}用法以及执行存储过程
qq_28461661的博客
03-05 667
使用#{}会将入的参数用引号包裹例如:‘a’ 使用${}入的参数不会用引号包裹 例如 a 在mybatis编译存储过程 下面入的${runCode}就是入的存储过程 <update id="createProduce" parameterType="com.hex.dop.eams.config.model.Ruleset"> ${runCode} </...
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助...综上所得,在Mybatis下动态sql##和$$的区别是非常重要的,correctly使用#{ }和${ }可以避免SQL注入问题,并提高应用程序的安全性。
浅谈mybatis的#和$的区别 以及防止sql注入的方法
09-01
MyBatis,`#`和`$`在动态SQL使用有着明显的区别,它们在处理入数据的方式上有所不同,同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
Mybatis#{}和${}参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈Mybatis #和$区别以及原理
08-18
这两个占位符的使用场景和风险也不同,#号可以防止SQL注入,而$号则需要服务器端提供参数,前端可以用参数进行选择,避免SQL注入的风险。 Mybatis对#和$的处理 Mybatis对#和$的处理机制不同。在源码,我们可以...
纯JDBC实现hibernate和mybatis基本功能
05-24
使用java的纯jdbc的代码通过反射模拟hibernate和mybatis
MyBatis#{}和${}的区别详解
09-01
这样做的好处是能够防止SQL注入攻击,因为数据库会将这些参数视为预定义的值,而不是直接拼接到SQL字符串。此外,使用PreparedStatement还能提高查询性能,因为数据库可以缓存预编译的SQL语句,减少解析和编译的...
Mybatissql的各种写法,项目的。存储过程写法,创建索引写法
little_dream2018的博客
03-21 3934
关键是扩大自己的视野,因为有的我真的不知道可以这样写? 比如: 一:if test --可以去掉多余的and <if test = "defaultQuery and sum == false"> AND (sysdate - T.CREATED) &lt; 90 </if> <if test = "limit30 and sum == false">...
$常用参数
MrOrange2018的博客
03-04 566
$0 : 获取当前执行脚本的文件名 $1 : 是递给该shell脚本的第一个参数 $n : 获取当前执行的shell脚本的第N个参数。如果n大于9,可以用大括号括起来${10}. $? : 上一个命令执行是否成功的标志,如果执行成功则$? 为0,否则不为0 $# : 获取当前shell命令行参数的总个数。 $$ :是脚本运行的当前进程ID号 $* : 给脚本的所有参数的列表,将所有参数视...
#{}与${}的区别和使用选择
详情请看注释
12-20 1565
在我们开始使用mapper配置文件来进行编写SQL语句的时候,我们一直使用#{}来进行参,我们入一个对象,通过自动获取对象的属性来进行与SQL语句进行交互,其实在参的时候,还有一种方式,就是:${},那么我们来说一下他们的区别。 #{}与${}的区别和使用选择 #{}: 会把参数的位置使用”?”做占位符,执行SQL的时候才会替换”?”的值 我们在使用M...
sql语句的#{}占位符和${}占位符
JavaClub
06-09 8929
#方式能够很大程度防止sql注入;$方式无法防止Sql注入
Oracle的动态SQL
NowOrNever
10-05 1万+
原文:http://space.itpub.net/26622598/viewspace-718134 在PLSQL使用EXECUTE IMMEDIATE语句处理动态SQL语句。 语法如下: EXECUTE IMMEDIATE dynamic_string [INTO {define_variable[, define_variable]... | record}] [USING [I
myBatis的#和$的区别
耀的专栏
03-05 1011
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库的记录。 动态sql 是mybatis 的主要特性之一,在mybatis我们可以把参数到xml文件,由mybatis对sql及其语法进行解析,m...
mybatis直接执行前台递的sql语句(mapper参数即为sql字符串)
热门推荐
编程日常记录与总结 https://franciswmf.iteye.com
04-12 2万+
1、dao.java public List> selectPublicItemList(@Param(value="sqlStr") String sqlStr); 2、mapper.xml ${sqlStr} 3、controller.java @RequestMapping(value="/getPublicOptionItemList", method = Reque
mybatis#和$
最新发布
05-16
MyBatis ,# 和 $ 符号都用于参数占位符,但它们的使用方式略有不同。 #符号表示参数占位符,例如: ``` <select id="getUserById" resultType="User"> select * from user where id = #{id} </select> ``` 在上面的示例,#id# 将被替换为递给 SQL 查询的实际参数值。MyBatis 会自动将递的参数值包装在一个预编译语句,可以防止 SQL 注入攻击。 $符号表示直接替换参数值,例如: ``` <select id="getUserById" resultType="User"> select * from user where id = ${id} </select> ``` 在上面的示例,$id$ 将被替换为递给 SQL 查询的实际参数值。使用 $ 符号时,递的参数值不会被包装在预编译语句,因此可能会导致 SQL 注入攻击。 总的来说,使用 # 符号是更安全和推荐的方式,因为它可以防止 SQL 注入攻击。但有时候,如果需要动态构建 SQL 语句,$ 符号可能更方便。但是,使用 $ 符号时必须小心,避免 SQL 注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值