MyBatis中#{}和${}的区别

已于 2023-04-17 10:34:04 修改
阅读量289 收藏
点赞数
文章标签: mybatis mysql 数据库
于 2023-04-17 10:33:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46601365/article/details/130194545
版权

文章目录

在MyBatis 的映射配置文件中,动态传递参数有两种方式:

  1. #{} 占位符
  2. ${} 拼接符

#{} 和 ${} 的区别

区别1

#{} 为参数占位符 ?,即 sql 预编译
${} 为字符串替换,即 sql 拼接

区别2

#{}:动态解析 -> 预编译 -> 执行
${}:动态解析 -> 编译 -> 执行

区别 3

#{} 的变量替换是在 DBMS 中
${} 的变量替换是在 DBMS 外

区别 4

变量替换后,#{} 对应的变量对于String类型会自动加上单引号 ‘’,其他类型不加。
变量替换后,${} 对应的变量都不会加上单引号 ‘’

区别 5

#{} 采用预编译,其后的参数不会再进行SQL编译,所以可以防止SQL注入。
${} 每执行一次都需要重新编译一次,不能防止sql 注入

什么是SQL预编译

数据库接收到sql语句后,需要词法/语法解析,优化sql语句,制定执行计划。多数情况下,相同的sql语句可能只是传入参数不同(如where条件后的值不同…)。

如果每次都需要经过上面的词法/语法解析、语句优化、制定执行计划等,则效率就明显不行了。所以预编译的优势就体现出来了。预编译语句在被MySQL编译器编译后,执行代码会被缓存下来。那么下次调用时,只要是相同的预编译语句就再不需要编译,只要将参数直接传入编译过的语句执行代码中即可。

预编译SQL的用法

以 MySQL 为例,在 MySQL 中,所谓预编译其实是指先提交带占位符的 SQL 模板,然后为其指定一个 key,MySQL 先将其编译好,然后用户再拿着 key 和占位符对应的参数让 MySQL 去执行。

一个标准的预编译 SQL 的用法如下:

# 提交带有占位符的参数化 SQL,也可以理解为 SQL 模板
prepare prepare_query from 'select * from t_user where username = ?';

# 指定一个参数
set @name = '王五';

# 指定参数化 SQL 的 key 和参数,让 MySQL 自己去拼接执行
execute prepare_query using @name;

先通过 prepare 设置一个 SQL 模板,然后通过 execute 提交参数,MySQL 会自行根据参数替换占位符,到最后执行的 SQL 就是:

select * from t_user where username = '王五';

预编译的原理,为什么说预编译SQL可以防止注入?

按网上的说法,prepare 执行的时候实际上 SQL 已经编译完了,所以可以防止注入,因为后续不管塞什么参数都不可能在调整语法树了,换个角度想,这是不是说明,如果我们一开始就让 prepare 执行的 SQL 模板的关键字变成占位符,是不是应该在这个时候就编译不通过?

比如,可以把查询的表名改成占位符:

prepare prepare_query from 'select * from ? where username = ?';

# 执行结果
# > 1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to 
# use near '? where username = ?' at line 1

实际上也确实不行,因为编译时必须确定主表,因此在 from 后面加占位符会导致预编译不通过。

那么如果把查询得字段改成占位符,只在查询字段里面套一个嵌套查询呢?

prepare prepare_query from 'select ? from t_user';
SET @c = '(select * from t_user) as q';
EXECUTE prepare_query using @c;

# 执行结果
# (select * from t_user) as q
# (select * from t_user) as q
# (select * from t_user) as q
# ...

查询成功了,不过得到的结果的固定的 (select * from t_user) 这个字符串,我们检查一下 MySQL 的执行日志,看看最终执行的 SQL 变成什么样了:

Prepare	select ? from t_user
Query	SET @c = '(select * from t_user) as q'
Query	EXECUTE prepare_query using @c
Execute	select '(select * from t_user) as q' from t_user # 最终执行的SQL

显然,(select * from t_user) 参数本身被直接转义为了一串普通的字符串,我们试图“注入”的 SQL 片段完全不会生效

换而言之,对于预编译 SQL 来说,我们作为模板的参数化 SQL 已经完成的编译过程,这段 SQL 包含几条有效语句?查哪张表?查哪些字段?作为条件的字段有哪些?…这些在 prepare 语句执行完后都是固定的此后我们再通过 execute 语句塞进去的任何参数,都会进行转义,不会再作为 SQL 的一部分。这就是为什么说预编译 SQL 可以防止注入的原因

JDBC的预编译

直接在驱动的 url 上配上 useServerPrepStmts=true ,这样就会启用 MySQL 的预编译功能。否则不会使用 MySQL 的预编译功能

测试代码:

String sql = "select * from s_user where username = ?";
PreparedStatement preparedStatement = connection.prepareStatement(sql);
preparedStatement.setString(1, "王五' union select * from s_user");
ResultSet resultSet = preparedStatement.executeQuery();

设置了 useServerPrepStmts=true 后再执行代码,去数据库查看执行日志有:

Execute select * from s_user where username = '王五\' union select * from s_user'
Prepare select * from s_user where username = ?

此时 MySQL 的预编译功能就真正的生效了。

#{} 和 ${} 的实例:假设传入参数为 1

实例步骤一

#{}:select * from t_user where uid=#{uid}

${}:select * from t_user where uid= '${uid}'

实例步骤二

#{}:select * from t_user where uid= ?

${}:select * from t_user where uid= '1'

实例步骤三

#{}:select * from t_user where uid= '1'

${}:select * from t_user where uid= '1'

可以看到使用#{}动态传递参数采用了sql预编译,这也是为啥#{}可以防止SQL注入的原因。

#{} 和 ${} 在使用中的技巧和建议

  1. 不论是单个参数,还是多个参数,一律都建议使用注解@Param(“”)
  2. 能用 #{} 的地方就用 #{},不用或少用 ${}
  3. 表名作参数时,必须用 ${}。如:select * from ${tableName}
  4. 列名作参数时,必须用 ${}。如:select * from user where ${column} = #{value}
  5. order by 时,必须用 ${}。如:select * from t_user order by ${columnName}
  6. 表名处用#{}会直接报错;列名处用#{}会查询不到数据;order by后面用#{}排序不生效
  7. 使用${}时,要注意何时加或不加单引号,即 ${} '${}'。一般字段类型为char或者varchar时需要加单引号
${}的使用场景举例

当 SQL 语句中的元数据(如表名或列名)是动态生成的时候,字符串替换将会非常有用。 举个例子,如果你想 select 一个表任意一列的数据时,不需要这样写:

@Select("select * from user where id = #{id}")
User findById(@Param("id") long id);

@Select("select * from user where name = #{name}")
User findByName(@Param("name") String name);

@Select("select * from user where email = #{email}")
User findByEmail(@Param("email") String email);

// 其它的 "findByXxx" 方法

而是可以只写这样一个方法:

@Select("select * from user where ${column} = #{value}")
User findByColumn(@Param("column") String column, @Param("value") String value);

其中 ${column} 会被直接替换,而 #{value} 会使用 ? 预处理。 这样,就能完成同样的任务:

User userOfId1 = userMapper.findByColumn("id", 1L);
User userOfNameKid = userMapper.findByColumn("name", "kid");
User userOfEmail = userMapper.findByColumn("email", "noone@nowhere.com");

这种方式也同样适用于替换表名的情况。

ps: 用这种方式接受用户的输入,并用作语句参数是不安全的,会导致潜在的 SQL 注入攻击。因此,要么不允许用户输入这些字段,要么自行转义并检验这些参数

Query*
关注
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
Mybatis#和$的区别
热门推荐
伏颜的博客
07-11 1万+
Mybatis#和$的区别
mybatis#和$的区别
weixin_64922330的博客
08-14 836
简单介绍mybatis#和$的区别
Mybatis #和$的区别是什么?
牛肉胡辣汤
08-22 321
​时,MyBatis会将参数值以安全的方式替换到SQL语句,使用的是PreparedStatement的预编译机制。​时,参数值会直接替换到SQL语句,需要注意防止SQL注入攻击的风险。需要注意的是,使用​。​是安全的占位符,适合用于大部分情况下,并且推荐在编写MyBatis SQL语句时使用​。​是字符串替换的占位符,适合用于一些特殊的需求,但需要注意防止SQL注入攻击。​是字符串替换的占位符,它直接将参数的字符串值替换到SQL语句。​进行占位符的标识,而是直接使用了​。​下面是一个使用​​。
Mybatis#和$的区别(通俗简单易解版)
一勺菠萝丶的博客
06-12 525
和的标记。了解这两种方式的区别非常重要,因为它们在安全性和功能上有明显的不同。我们将通过示例来说明这些差异,并提供实用的建议,以帮助开发者选择适当的方式,以确保应用程序的安全性和效率。
mybatis的#和$使用和区别
m0_61682705的博客
07-03 370
MyBatis是一种基于Java的持久层框架,用于将数据库操作和Java对象之间的映射进行处理。在MyBatis,#和$符号是用于SQL语句的占位符。在使用符号时,需要注意一些风险,例如如果使用不当,可能会导致SQL注入攻击。因此,建议在使用符号时,对参数值进行严格的检查和过滤处理。
mybatis#号和$区别
qq_44031124的博客
06-29 504
然后,当执行SQL时,MyBatis会使用 "PreparedStatement 的 setXXX()方法"来设置参数值,"#{}":MyBatis会使用预编译的SQL语句,并为每个参数,设置相应的占位符(通常是"?这种方式,可以有效地防止SQL注入攻击,因为,参数值不会被解析为SQL的一部分。
mybatis#和$有什么不同
m0_73878473的博客
01-04 856
#和$两者含义不同 #会把传入的数据都当成一个字符串来处理,会在传入的数据上面加一个双引号来处理。 而$则是把传入的数据直接显示在sql语句,不会添加双引号。 两者的实现方式不同 1、$作用相等于是字符串拼接 2、#作用相当于变量值替换 #和$使用场景不同 1、在sql语句,如果要接收传递过来的变量的值的话,必须使用#。因为使用#是通过PreparedStement接口来操作,可以防止sql注入,并且在多次执行sql语句时可以提高效率。 2、$只是简单的字符串拼接而已,所以要特别小心sq
MyBatis#和$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 1652
#{}和${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
关于mybatis#和$的区别,以及什么时候我们要用$
qq_62462081的博客
03-31 1138
关于mybatis#和$的区别,以及什么时候我们要用$,怎么防止$的sql注入
mybatis#与$的区别、一二级缓存以及mysql隔离级别、mybatis与hibernate区别
weixin_50643050的博客
06-06 927
1.${} 就是字符串替换。直接替换掉占位符。$方式一般用于传入数据库对象或固定变量,例如传入表名,例如字段名 2.使用 ${} 的话会导致 sql 注入。什么是 SQL 注入呢?比如 select * from user where id = ${value} 3.value 应该是一个数值吧。然后如果对方传过来的是 001 and name = tom。这样不就相当于多加了一个条件嘛?把SQL语句直接写进来了。如果是攻击性的语句呢?001;drop table user,直接把表给删了。
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
MybatisPlus的LambdaQueryWrapper用法
2301_79693537的博客
08-21 5451
【代码】MybatisPlus的LambdaQueryWrapper用法。
【Linux】MySQLMGR主从复制
Stringzhua的博客
10-30 823
MySQL是⽬前最流⾏的开源关系型数据库,国内⾦融⾏业也开始全⾯使⽤,其MySQL5.7.17提出的 MGR(MySQL Group Replication)既可以很好的保证数据⼀致性⼜可以⾃动切换,具备故障检测功能、 ⽀持多节点写⼊,MGR是⼀项被普遍看好的技术。MGR(MySQL Group Replication)是MVSQL⾃带的⼀个插件,可以灵活部署。
easy-es使用以及Es和MySQL同步
weixin_51918722的博客
10-31 439
它主要就是简化了ES相关的API, 使用起来像MP一样舒服。
MySql】第五章(存储函数与存储过程)习题
最新发布
她是不会无条件的!!
11-01 444
MySql】第五章(存储函数与存储过程)习题
mysql 8.0.39 Caused by: java.sql.SQLException: Illegal mix of collations 异常解决
LFCuiYs的博客
10-30 381
发现设置utf8mb3_general_ci 会报错,所以要与参数一直 改成utf8mb4_general_ci 即可生效。java服务可以正常启动,页面发现查询报错Illegal mix of collations。经查看发现是关联表排序异常,因是mysql 8.0.39。然后定位异常 调成一直参数问题解决。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值