SQL语句

最新推荐文章于 2024-04-18 15:35:27 发布
最新推荐文章于 2024-04-18 15:35:27 发布
阅读量404 收藏
点赞数
分类专栏: Oracle
原文链接:https://www.cnblogs.com/luohanguo/p/9122398.html
版权

区别:

(1)#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是id,则解析成的sql为order by "id"。

(2)$将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是id,则解析成的sql为order by id。

(3)#方式在很大程度上能够防止sql注入。

(4)$方式无法防止sql注入。

(5)$方式一般用于传入数据库对象,例如传入表名。(这里得注意SQL注入问题

(6)一般能用#的就别用$。

总结区别:#{} 传入值时,sql解析时,参数是带引号的,而${}穿入值,sql解析时,参数是不带引号的。

 

举个例子:

select * from ${table_Name} where name = #{name}

在这个例子中,如果表名为

   user; delete user; --

  则动态解析之后 sql 如下:

select * from user; delete user; -- where name = ?;

--之后的语句被注释掉,而原本查询用户的语句变成了查询所有用户信息+删除用户表的语句,会对数据库造成致命损伤。

但是表名用参数传递进来的时候,只能使用 ${} 。这也提醒在这种用法中要小心sql注入的问题。

 

关于模糊查询: ‘%${t.id}%’

 

silence_LLLL
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入实例分析
weixin_30624825的博客
07-23 3424
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执...
SQL语句语法
03-21
SQL语句语法,合适需要入门的同学学习,很基础的内容,需要可以下载。
SQL Server】#、##、@、@@分别代表什么
指错||纠正||建议||水评+点赞&&评论&&关注&&转发,在这里你大概率会有所收获
07-14 8206
SQL.@,@@、#,##含义
SQL语句这一篇就够了(超级详细)
weixin_70139631的博客
04-18 4037
首先m表示max,b表示byte,mb3表示一个字符最多占用三个byte同理mb4占用4个,最大的不同在于mb4比mb3多出来的一字节可以表示表情文字。varchar是可变的文本类型更加灵活,节省空间,但是char类型的性能更好特别是查询数据时。-- left join 以左表为主表 结果集中包含主表的所有数据,结果集中显示副表中和主表有关联的数据。-- 当我们所需要的查询结果在两张表或者多张表中,这是就需要关联查询。-- 将多个表的数据按照一定的条件 关联在一器。根据指定的条件,检索数据,返回执行结果。
SQL中#和$的区别以及使用它们会造成的问题
qq_37511997的博客
05-17 2235
不同点 ●使用#获取传入的数据会在数据上加上引号。比如 where userId = #{userId },如果userId传入的值为1,那最终的sql就是 where userId = “1”; ●使用$获取传入的数据不会对数据做任何改变,比如 where userId = #{userId },如果userId传入的值为1,那最终的sql就是 where userId = 1; ● #能够一定程度上防止SQL注入 ● $无法防止SQL注入 ● $一般用于传入数据库对象,例如传入表名。(仍会存在S
sql中#与$的区别
我的博客
03-08 9426
在这里用到了#{},使用#时:1、用来传入参数,sql在解析的时候会加上” “,当成字符串来解析 ,如这里 role_id = “roleid”;2、#{}能够很大程度上防止sql注入;延伸:1、用传入数据直接显示在生成的sql中,如上面的语句,用roleid=传入数据直接显示在生成的sql中,如上面的语句,用roleid={roleId,jdbcType=INTEGER},那么sql在解析的时候...
sql语句中#{}和${}的区别
liulang68的博客
10-31 1985
#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”。 $将传入的数据直接显示生成在sql中。如:order by userid,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sql为order by id。 #方式能够很大程度防止sql注入;$方式
sql语句中用问号代替参数
08-02
sql语句中用问号代替参数
sql语句sql语句sql语句sql语句.txt
06-01
sql语句sql语句sql语句sql语句sql语句
泛微系统SQL语句大全
12-29
泛微系统中常见的主要基于SQL server相关的SQL语句大全, 其中包括组织架构相关SQL,流程相关SQL以及其他自定义需求; 效率排名,等SQL总数将近百;
基本SQL语句
12-15
数据库最基层的SQL语句,新手必备,绝对靠谱,不懂可以留言
sql语句范例sql语句范例pdf
最新发布
06-15
篇一:SQL 语句大全实例 SQL 语句实例 表操作 例1对于表的教学管理数据库中的表STUDENTS , 可以定义如下: CREATE TABLE STUDENTS (SNONUMERIC (6, O) NOT NULL SNAME CHAR (8) NOT NULL AGENUMERIC (3,0) SEXCHAR ...
java实现简单的给sql语句赋值的示例
09-04
主要介绍了java实现简单的给sql语句赋值的示例,需要的朋友可以参考下
SQL语句API
01-27
sql 语句是对数据库进行操作的一种语言。结构化查询语言(Structured Query Language)简称SQL,结构化查询语言是一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理关系数据库系统。
SQL语句基础教程
01-20
SQL语句基础教程 SQL(Structured Query Language)是一种特殊目的语言,用于管理关系数据库管理系统(RDBMS)。SQL语句基础教程旨在帮助新手和需要复习SQL的资料仓储业界老将,学习SQL基础知识和语法。 SQL指令 -...
sql语句说明sql语句说明sql语句说明.zip
05-11
sql语句说明sql语句说明sql语句说明sql语句说明sql语句说明sql语句说明sql语句说明sql语句说明sql语句说明sql语句说明sql语句说明sql语句说明sql语句说明sql语句说明sql语句说明sql语句说明sql语句说明sql语句说明...
sql 中 ${} 和 #{}的区别
qq_34266804的博客
03-01 624
sql中对于传入参数有两种写法,刚开始学的时候总是不知道是什么原因,故此写下此笔记作为解释: $将传入的数据直接显示生成在sql中,那么我们使用 ${}的时候 select * from user where name = ${name}; ${}在动态解析的时候,会将我们传入的参数当做String字符串填充到我们的语句中,就会变成下面的语句 select * from u...
mybatis动态sql语句
03-31
MyBatis动态SQL语句是指在编写SQL语句时可以根据不同的条件动态生成不同的SQL语句。 MyBatis提供了以下几种方式来实现动态SQL语句: 1. if元素:通过if元素可以根据条件判断来生成不同的SQL语句片段。例如: ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值