Mybatis中的#{}和${}区别

最新推荐文章于 2023-08-27 20:58:57 发布
最新推荐文章于 2023-08-27 20:58:57 发布
阅读量366 收藏 1
点赞数 1
分类专栏: Mybatis SQL 文章标签: #{} ${} 预编译占位符 防止sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shenzhou_yh/article/details/103465607
版权
Mybatis 同时被 2 个专栏收录
10 篇文章 0 订阅
订阅专栏
SQL
8 篇文章 1 订阅
订阅专栏

昨天在项目开发过程中,遇到一个问题,Mybatis绑定变量时,一个ID没有被加上单引号,导致程序报错,最后是发现本该使用#{}的,错用成了${}。所以今天记录一下,算是回顾一下知识点了。

使用场景分析
  • #{}
    1、采用预编译的方式进行传值,使用? 作为占位符,可以有效的防止sql注入问题。样例如下:
==> Preparing:select count(1) from tb_customer_browse_merchant a where a.merchant_id=?
==>Parameters: 42585871092941719a46bfee5f9c0d1e(String)
<==      Total: 1

第一句就是预编译语句,将绑定的参数进行传值查询,最后的效果和下面的sql一样(注意:自动加上了单引号):

select count(1) from tb_customer_browse_merchant a where a.merchant_id='42585871092941719a46bfee5f9c0d1e'

2、会自动识别参数的类型,正确的赋值到预编译语句中,如上sql,传入的参数是String类型,则在进行拼接sql语句的时候,会自动单引号。

  • ${}
    1、${}不会对参数的类型进行处理,直接进行替换展示,并且参与SQL的预编译语句,所以,不能够防止SQL注入。贴一下我昨天遇到的问题,部分代码如下:
<if test="companyIdList != null and companyIdList.size>0">
            AND a.company_id in
            (<foreach collection="companyIdList" item="item"  separator=",">
            ${item}
        	</foreach>)

这里面就是错用了 , 导 致 i n 语 句 里 面 都 是 数 字 , 而 不 是 i d 字 符 串 。 2 、 {},导致in语句里面都是数字,而不是id字符串。 2、 ,inid2{}可以动态的传入表名或者列名,动态的指定查询表或者灵活的使用列名,比如:

order by ${order_by} DESC

如上代码,就可以根据业务需求,灵活的对结果集进行排序,这也是主要的一个应用场景。当然缺点肯定也还是存在sql注入的风险。

总结
  • #{}可以很大程度上防止sql注入的问题,并且能够自动转换参数类型
  • ${}一般用于传输不须变化的值,可以传表名或者列名,或者数字等
  • 能尽量使用#{}的就不要使用${}

参考:
Mybatis中的 ${} 和 #{}区别与用法

mybatis 中 #{} 和 ${} 的区别及应用场景

shenzhou_yh
关注
专栏目录
mybatis的#和$使用和区别
学无止境
02-27 930
mybatis的#和$使用和区别
Mybatis现学现用
12-16
以最短的时间学会Mybatis,并使用到项目,包括搜集的很多资料;很全很全:并且有项目实例 例如:mybatis的#和$的区别? 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sql为order by id.    3. #方式能够很大程度防止sql注入。    4.$方式无法防止Sql注入。 5.$方式一般用于传入数据库对象,例如传入表名.    6.一般能用#的就别用$. MyBatis排序时使用order by 动态参数时需要注意,用$而不是# 字符串替换 默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用: ORDER BY ${columnName} 这里MyBatis不会修改或转义字符串。 重要:接受从用户输出的内容并提供给语句不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。
Mybatis{}域#{}的区别
weixin_71307869的博客
06-20 1195
#{}是预编译处理,${}是字符串替换。 详情:(1)mybatis在处理#{}时,会将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值。(2)mybatis在处理时 , 就 是 把 {}时,就是把时,就是把{}替换成变量的值。(3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输入非法参数,也不会对SQL的结构产生影响,从而避免了潜在的安全风险。(4)预编译是提前对SQL语句进行预编译,而其后注入
MyBatisMyBatis#{}与{}的区别
AloneYueCSDN
11-08 3060
文章目录mybatis#{}与{}的区别 mybatis#{}与{}的区别 #{} 是预编译处理,像传进来的数据会加个" "(#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号)与JDBC一样创建prearedStatement参数占位符并安全设置参数(就像使用 ? 一样),安全迅速,转义字符,不会有SQL注入问题 1.${} 就是字符串替换。直接替换掉占位符。$方式一般用于传入数据库对象或固定变量,例如传入表名,例如字段名 2.使用 ${} 的话会导致 sql 注入。什么是 SQ
Mybatis #{}和${}
qq_52764609的博客
06-07 246
2. Mybatis 在处理#{}时,会将 sql 的#{}替换为?号,调用 PreparedStatement 来赋值。3. Mybatis 在处理${}时,就是把${}替换成变量的值,调用 Statement 来赋值。1.#{}是预编译处理、是占位符,${}是字符串替换、是拼接符。4.使用#{}可以有效的防止 SQL 注入,提高系统安全性。
Mybatis#{}与{}的区别与联系
最新发布
qq_44788380的博客
08-27 601
Mybatis#{}与{}的区别与联系
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis预编译参数占位...
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
mybatis#{}和{}区别
weixin_45447017的博客
08-25 7254
mybatis#{}和{}区别 #{}与JDBC一样创建prearedStatement参数占位符并安全设置参数(就像使用 ? 一样),安全迅速,转义字符 ${} 采用的是字符串拼接参数的形式,不太安全,当传入参数为字段名,表名,排序方式,固定常量则可以使用。不转义字符串,有风险,同时存在sql注入,一般设置固定变量,例如字段名, 另外提到resultMap 它则是结果映射定义,作用是将体现每行记录的映射,其type属性是接收参数的类型,在resultMap标签还有常用id标签 一般用于存储接收的
mybatis#{}和${}的区别
小强博客
05-14 465
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为or...
Mybatis#与$的区别
qq_36127031的博客
03-05 240
下面是一段英文简介,描述了这两种方式: By default, using the #{} syntax will cause MyBatis to generate PreparedStatement properties and set the values safely against the PreparedStatement parameters.While this is safer,...
Mybatis的#{}与${}
Xin6Yang的博客
05-11 264
Mybatis的#{}与${} MyBatis映射配置文件,动态传递参数两种方式: #{}:占位符 ${}:拼接符 区别 #{}为参数占位符?,即sql预编译;${}为字符串替换,即sql拼接。 #{}:动态解析->预编译->执行;${}:动态解析->编译->执行。 #{}的变量替换是在DBMS;${}的变量替换是在DBMS外。 变量替换后,#{}对应的变量自动加上单引号’’;变量替换后,${}对应的变量不会加上单引号’’。 #{}能防止sql注入;${}不能防止sq
mybatis的#和$的区别
huiyanfreeflying的博客
07-09 266
1.使用${}将参数拼接后在编译成SQL语句,不能防止SQL注入,查询出了有关额外信息,这是很危险的。 2.Mybatis的#{}用于传递查询的参数,用于从dao层传递一个string参数过来(也可以是其他参数),select * from 表名 order by age=#{age}。Mybatis会把这个参数转换成一个字符串。select * from 表名 order by age=“age” 相当于jdbc预编译,安全。 3.而${}一般用于order by的后面,Mybatis不会对这个参数
一文解惑mybatis的#{}和${}
一个菜鸡的博客
07-19 5828
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
Mybatis${}与#{}的区别
XingChenHuanYu的博客
03-17 208
当输入参数是普通类型时(8个基本类型+String): #{任意值}, 会自动给String类型加上引号(自动类型转换), 可以防止sql注入 ${value}, 其的标识符只能是value。 ${}原样输出,适合于动态排序(动态字段),加引号方式为’${}’。 不能防止sql注入 当输入参数为对象类型时: 占位符只能是对象的属性名: #{属性名} ${属性名} ...
mybatis #与$区别
wqdsfwer的博客
07-16 161
#{}是预编译的形式讲参数设置到sql, ${}取出的值直接讲值拼接到sql没办法防止sql注入 大多数条件都用#{}来操作,但是有时候会用${}比如分库分表等来拼接来形成sql等是需要用到的 ...
MyBatis的#和$的区别
u012448293的专栏
03-31 344
推荐使用# 而不是$ 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:where id = #{id},#生成的sql带引号,所以传参的时候用,比如传123、梦彪的时候,会变成“123” “梦彪” 2.$将传入的数据直接显示生成在sql。如:order by ${id} ,排序的时候建议用$,$生成的sql不带引号,所以传对象的时候用,比如穿name,id,
mybatis#和$的区别
06-07
MyBatis,#和$都是用于替换SQL语句占位符的符号,但它们的处理方式不同。 #号表示占位符,通过预编译的方式将传入的参数值进行安全的替换,防止SQL注入攻击,同时将参数值转换为对应的JDBC类型。例如: ``...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值