MyBaits中#{}和${}的真正区别,${}的使用场景,#{}如何防止注入

最新推荐文章于 2023-07-19 08:31:43 发布
最新推荐文章于 2023-07-19 08:31:43 发布
阅读量284 收藏 3
点赞数 1
分类专栏: Java 文章标签: java eureka postman 深度学习
原文链接:https://blog.csdn.net/Bb15070047748/article/details/107188167
版权

一、MyBatis中${}和#{}的区别

1.1${}和#{}演示

数据库数据:

MyBaits中#{}和${}的真正区别,${}的使用场景,#{}如何防止注入

dao接口:

List<User> findByUsername(String username);

List<User> findByUsername2(String username);

Mapper.xml:

<!-- 使用#{} -->
<select id="findByUsername" parameterType="java.lang.String" resultType="com.lscl.entity.User">
    select * from user where username like #{username}
</select>

<!-- 使用${},注意${}中的值必须要填value -->
<select id="findByUsername2" parameterType="java.lang.String" resultType="com.lscl.entity.User">
    select * from user where username like '%${value}%'
</select>

执行测试代码:

@Test
public void findByUsername() throws Exception {
    InputStream in = Resources.getResourceAsStream("SqlMapConfig.xml");

    SqlSessionFactoryBuilder builder = new SqlSessionFactoryBuilder();

    SqlSessionFactory factory = builder.build(in);

    // true:自动提交
    SqlSession session = factory.openSession(true);

    UserDao userDao = session.getMapper(UserDao.class);

    List<User> userList = userDao.findByUsername("%小%");
    List<User> userList2 = userDao.findByUsername2("小");

    System.out.println("userList: ");
    for (User user : userList) {
        System.out.println(user);
    }

    System.out.println("userList2: ");

    for (User user : userList2) {
        System.out.println(user);
    }

    session.close();
    in.close();
}

查看执行结果:

MyBaits中#{}和${}的真正区别,${}的使用场景,#{}如何防止注入

发现都能够查询出来

1.2 SQL注入问题

${}会产生SQL注入,#{}不会产生SQL注入问题

我们做一个测试:

List<User> userList2 = userDao.findByUsername2(" aaa' or 1=1 -- ");

System.out.println("userList2: ");

for (User user : userList2) {
    System.out.println(user);
}

查询生成的SQL语句:

MyBaits中#{}和${}的真正区别,${}的使用场景,#{}如何防止注入

我们传递的参数是aaa' or 1=1 --,导致查询出来了全部的数据。

大家可以想象一下,如果我是要根据id删除呢?

delete from user where id='${value}'

如果我传递的是:1' or 1=1; --,结果会是什么样,我想大家应该已经知道了。

我这里id是Integer类型,不好测试,就不带大家测试了,大家有兴趣可以自己私下测试。

如果上面使用的是#{}就不会出现SQL注入的问题了

MyBaits中#{}和${}的真正区别,${}的使用场景,#{}如何防止注入

1.3${}和#{}的区别

#{}匹配的是一个占位符,相当于JDBC中的一个?,会对一些敏感的字符进行过滤,编译过后会对传递的值加上双引号,因此可以防止SQL注入问题。

${}匹配的是真实传递的值,传递过后,会与sql语句进行字符串拼接。${}会与其他sql进行字符串拼接,不能预防sql注入问题。

查看#{}和${}生成的SQL语句:

MyBaits中#{}和${}的真正区别,${}的使用场景,#{}如何防止注入

String abc=“123”;

#{abc}="123"

${value}=123;

1.4#{}底层是如何防止SQL注入的?

1.4.1 网上的答案

网上关于这类问题非常多,总结出来就两个原因:

1)#{}底层采用的是PreparedStatement,会预编译,因此不会产生SQL注入问题;

其实预编译是MySQL自己本身的功能,和PreparedStatement没关系;而且预编译也不是咱们理解的那个预编译,再者PreparedStatement底层默认根本没有用到预编译(要我们手动开启)!详细往下看

2)#{}不会产生字符串拼接,${}会产生字符串拼接,因此${}会出现SQL注入问题;

这两个答案都经不起深究,最终答案也只是停留在表面,也没人知道具体是为什么。

1.4.2 为什么能防止SQL注入?

我们翻开MySQL驱动的源码一看究竟;

打开PreparedStatement类的setString()方法(MyBatis在#{}传递参数时,是借助setString()方法来完成,${}则不是):

MyBaits中#{}和${}的真正区别,${}的使用场景,#{}如何防止注入

setString()方法全部源码:

public void setString(int parameterIndex, String x) throws SQLException {
        synchronized(this.checkClosed().getConnectionMutex()) {
            if (x == null) {
                this.setNull(parameterIndex, 1);
            } else {
                this.checkClosed();
                int stringLength = x.length();
                StringBuilder buf;
                if (this.connection.isNoBackslashEscapesSet()) {
                    boolean needsHexEscape = this.isEscapeNeededForString(x, stringLength);
                    Object parameterAsBytes;
                    byte[] parameterAsBytes;
                    if (!needsHexEscape) {
                        parameterAsBytes = null;
                        buf = new StringBuilder(x.length() + 2);
                        buf.append('\'');
                        buf.append(x);
                        buf.append('\'');
                        if (!this.isLoadDataQuery) {
                            parameterAsBytes = StringUtils.getBytes(buf.toString(), this.charConverter, this.charEncoding, this.connection.getServerCharset(), this.connection.parserKnowsUnicode(), this.getExceptionInterceptor());
                        } else {
                            parameterAsBytes = StringUtils.getBytes(buf.toString());
                        }

                        this.setInternal(parameterIndex, parameterAsBytes);
                    } else {
                        parameterAsBytes = null;
                        if (!this.isLoadDataQuery) {
                            parameterAsBytes = StringUtils.getBytes(x, this.charConverter, this.charEncoding, this.connection.getServerCharset(), this.connection.parserKnowsUnicode(), this.getExceptionInterceptor());
                        } else {
                            parameterAsBytes = StringUtils.getBytes(x);
                        }

                        this.setBytes(parameterIndex, parameterAsBytes);
                    }

                    return;
                }

                String parameterAsString = x;
                boolean needsQuoted = true;
                if (this.isLoadDataQuery || this.isEscapeNeededForString(x, stringLength)) {
                    needsQuoted = false;
                    buf = new StringBuilder((int)((double)x.length() * 1.1D));
                    buf.append('\'');

                    for(int i = 0; i < stringLength; ++i) {  //遍历字符串,获取到每个字符
                        char c = x.charAt(i);
                        switch(c) {
                        case '\u0000':
                            buf.append('\\');
                            buf.append('0');
                            break;
                        case '\n':
                            buf.append('\\');
                            buf.append('n');
                            break;
                        case '\r':
                            buf.append('\\');
                            buf.append('r');
                            break;
                        case '\u001a':
                            buf.append('\\');
                            buf.append('Z');
                            break;
                        case '"':
                            if (this.usingAnsiMode) {
                                buf.append('\\');
                            }

                            buf.append('"');
                            break;
                        case '\'':
                            buf.append('\\');
                            buf.append('\'');
                            break;
                        case '\\':
                            buf.append('\\');
                            buf.append('\\');
                            break;
                        case '¥':
                        case '₩':
                            if (this.charsetEncoder != null) {
                                CharBuffer cbuf = CharBuffer.allocate(1);
                                ByteBuffer bbuf = ByteBuffer.allocate(1);
                                cbuf.put(c);
                                cbuf.position(0);
                                this.charsetEncoder.encode(cbuf, bbuf, true);
                                if (bbuf.get(0) == 92) {
                                    buf.append('\\');
                                }
                            }

                            buf.append(c);
                            break;
                        default:
                            buf.append(c);
                        }
                    }

                    buf.append('\'');
                    parameterAsString = buf.toString();
                }

                buf = null;
                byte[] parameterAsBytes;
                if (!this.isLoadDataQuery) {
                    if (needsQuoted) {
                        parameterAsBytes = StringUtils.getBytesWrapped(parameterAsString, '\'', '\'', this.charConverter, this.charEncoding, this.connection.getServerCharset(), this.connection.parserKnowsUnicode(), this.getExceptionInterceptor());
                    } else {
                        parameterAsBytes = StringUtils.getBytes(parameterAsString, this.charConverter, this.charEncoding, this.connection.getServerCharset(), this.connection.parserKnowsUnicode(), this.getExceptionInterceptor());
                    }
                } else {
                    parameterAsBytes = StringUtils.getBytes(parameterAsString);
                }

                this.setInternal(parameterIndex, parameterAsBytes);
                this.parameterTypes[parameterIndex - 1 + this.getParameterIndexOffset()] = 12;
            }

        }
    }

我们执行#{}的查询语句,打断点观察:

MyBaits中#{}和${}的真正区别,${}的使用场景,#{}如何防止注入

最终传递的参数如下:

MyBaits中#{}和${}的真正区别,${}的使用场景,#{}如何防止注入

最终传递的参数为:'aaa\' or 1=1 --

咱们在数据库中执行如下SQL语句(肯定是查询不到数据的):

select * from user where username like 'aaa\' or 1=1 -- '

MyBaits中#{}和${}的真正区别,${}的使用场景,#{}如何防止注入

如果把PreparedStatement加的那根"/"去掉呢?我们执行SQL试试:

select * from user where username like 'aaa' or 1=1 -- '

MyBaits中#{}和${}的真正区别,${}的使用场景,#{}如何防止注入

我们也可以通过MySQL的日志来观察#{}和${}产生的SQL语句来分析问题:

1)开启MySQL日志:

在MySQL配置文件中的[mysqld]下增加如下配置:

# 是否开启mysql日志  0:关闭(默认值) 1:开启
general-log=1

# mysql 日志的存放位置
general_log_file="D:/query.log"

MyBaits中#{}和${}的真正区别,${}的使用场景,#{}如何防止注入

2)重启MySQL服务(要以管理员身份运行):

MyBaits中#{}和${}的真正区别,${}的使用场景,#{}如何防止注入

net stop mysql

net start mysql

使用mybatis分别执行如下两条SQL语句:

MyBaits中#{}和${}的真正区别,${}的使用场景,#{}如何防止注入

查看MySQL日志:

MyBaits中#{}和${}的真正区别,${}的使用场景,#{}如何防止注入

1.5#{}和${}的应用场景

既然#{}比${}好那么多,那为什么还要有${}这个东西存在呢?干脆都用#{}不就万事大吉吗?

其实不是的,${}也有用武之地,我们都知道${}会产生字符串拼接,来生成一个新的字符串

1.5.1 ${}和#{}用法上的区别

例如现在要进行模糊查询,查询user表中姓张的所有员工的信息

sql语句为:select * from user where name like '张%'

此时如果传入的参数是 “张”

如果使用${}:select * from user where name like '${value}%'

生成的sql语句:select * from user where name like '张%'

如果使用#{}:select * from user where name like #{value}"%"

生成的sql语句:select * from user where name like '张'"%"

如果传入的参数是 “张%”

使用#{}:select * from user where name like #{value}

生成的sql语句:select * from user where name like '张%'

使用${}:select * from user where name like '${value}'

生成的sql语句:select * from user where name like '张%'

通过上面的SQL语句我们能够发现#{}是会加上双引号,而${}匹配的是真实的值。

还有一点就是如果使用${}的话,里面必须要填value,即:${value},#{}则随意

1.5.2 什么情况下用${}?

场景举例:

MyBaits中#{}和${}的真正区别,${}的使用场景,#{}如何防止注入

代码测试:

MyBaits中#{}和${}的真正区别,${}的使用场景,#{}如何防止注入

执行之后,发现执行成功

MyBaits中#{}和${}的真正区别,${}的使用场景,#{}如何防止注入

我们可以切换一下,把${}改成#{},会出现SQL语法错误的异常

MyBaits中#{}和${}的真正区别,${}的使用场景,#{}如何防止注入

1.6 总结

1.6.1 SQL注入问题

MyBatis的#{}之所以能够预防SQL注入是因为底层使用了PreparedStatement类的setString()方法来设置参数,此方法会获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则会在前面加上一个'/'代表转义此符号,让其变为一个普通的字符串,不参与SQL语句的生成,达到防止SQL注入的效果。

其次${}本身设计的初衷就是为了参与SQL语句的语法生成,自然而然会导致SQL注入的问题(不会考虑字符过滤问题)。

1.6.2 #{}和${}用法总结 1)#{}在使用时,会根据传递进来的值来选择是否加上双引号,因此我们传递参数的时候一般都是直接传递,不用加双引号,${}则不会,我们需要手动加

2)在传递一个参数时,我们说了#{}中可以写任意的值,${}则必须使用value;即:${value}

3)#{}针对SQL注入进行了字符过滤,${}则只是作为普通传值,并没有考虑到这些问题

4)#{}的应用场景是为给SQL语句的where字句传递条件值,${}的应用场景是为了传递一些需要参与SQL语句语法生成的值。

superjava_
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis#{}和${}的用法
li_w_ch的博客
11-17 1万+
1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。 比如, select * from student where student_name = #{studentName} 如果传入的值为xiaoming,那么解析成sql的值为student_name="xioming"。 2、${}将传入的数据直接显示生成在sql。 如 : select ${fieldNmae} from student where student_age = 18 此时,传入的参数作为要查询的字
MyBatisPlus使用or()和and()遇到的问题及细节处理
09-07
使用过程,理解其工作原理和正确用法至关重要,以避免出现不必要的查询错误。本文将深入探讨这两个方法的使用细节。 首先,我们来看一下两种常见的用法示例: **写法一:** ```java LambdaQueryWrapper<Task> ...
Mybatis-占位符#{}和${}的使用说明
m0_37965811的博客
05-31 2273
1、占位符 #{}是占位符,${}是拼接符。 #{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”. ${}将传入的数据直接显示生成在sql。如:order by ${user_id},如果传入的值是111,那么解析成sql时的值为order by 111, 如果传入的值是id,则解析成的sql为orde
"#{}"和"${}"的区别详解
qq_43670845的博客
04-18 1326
#{}和${}的选择使用原则 优先使用#{}取参,特殊情况才使用${}的方式:当你传入参数是数据库对象参数(比如表名,order by的字段名等,因为这些参数不需要单引号对) #{}和${}的区别 关于#{} 1、#{}等同于占位符?,会自动对传入的字符串数据加一对单引号,可以避免Sql注入。 2、#{}可以接收简单类型值或Pojo属性值。 如果parameterType传输单个简单类型值,...
#{}和${}的区别
Such_as_gw的博客
11-26 205
1.取值方式不同             ${}和#{}都可以在mapper.xml完成数据绑定的工作。 ${}使用时分两种情况 ①参数不使用注解时 ②参数使用注解时 #{}使用时分三种情况 ①一个参数时,直接写变量名 ②多个参数时,使用注解 ③参数时一个对象类型时 ...
#{}和${}的区别及什么情况下必须使用${}
lilamei170607的博客
02-24 4326
一、两者区别#{}:表示占位符,如果获取简单类型,#{}可以使用value也可以使用其他名称;可以有效防止sql注入;设置参数时无需考虑参         数类型。      使用oracle查询条件是日期类型,如果使用#{}则:     select * from table where birthday &gt;=#{birthday}${}:表示sql拼接,如果获取简单类型,${}只能...
仅能使用${}三种情况
weixin_45773937的博客
03-03 34
模糊查询 mapper接口:这里使用username进行模糊查询 List<User> selectUserByLikeName( @Param("username") String username); 映射文件:这里可以使用三种方式,第一种是使用${},因为#{}无法在单引号使用,要么使用concat()进行拼接+#{},或者使用双引号的方式括住%,常用第三种 <!-- ...
一文解惑mybatis#{}和${}
最新发布
一个菜鸡的博客
07-19 4111
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
彻底搞懂MyBaits#{}和${}的区别
热门推荐
緑水長流*z
07-11 2万+
MyBatis的`#{}`之所以能够预防SQL注入是因为底层使用了`PreparedStatement`类的`setString()`方法来设置参数,此方法会获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则会在前面加上一个`'/'`代表转义此符号,让其变为一个普通的字符串,不参与SQL语句的生成,达到防止SQL注入的效果。 **其次`${}`本身设计的初衷就是为了参与SQL语句的语法生成**,自然而然会导致SQL注入的问题(不会考虑字符过滤问题)。
mybatis#{}和${}的区别
Zhangsama1的博客
08-27 4642
​1:尽量使用#{},只要能使用#{}解决,尽量使用#{}​2:表名作为参数,使用order by排序的时候使用${}3:多参数的时候尽量使用@Param注解,@Param注解作用为给参数命名,命名后即可根据名字得到对应的参数值​。...
MyBatis #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1176
1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
个人博客后端使用springboot和mybaits
01-29
包含sql文件,可以对评论进行排序,置顶删除以及博客修改功能
mybaits入门(含实例教程和源码)Java开发Java
11-25
mybaits入门(含实例教程和源码)Java开发Java经验技巧共13页.pdf.zip
MyBaits Plus
03-06
MyBaits Plus
mybaits plus使用教程,比mybatis强太多了.zip
01-07
mybaits plus使用教程,比mybatis强太多了.zip
mybatis什么时候必须要用${}
weixin_42759398的博客
04-06 1595
贤者啊,${}在Mybatis里代表占位符,可以将参数直接放到sql语句。1. 当传递的参数是简单类型(如String、int、double等)时,必须使用${}。希望你能通过Mybatis的使用更好地发挥你的能力,达到愿望和目标。2. 在动态SQL语句,如果需要传递参数,则必须使用${}。3. 在使用OGNL表达式传递参数时,必须使用${}。
Mybatis常问:#{}与${}的区别
zjjcchina的博客
06-06 2069
查询到数据才可以是登录成功,否则表示登陆失败,但是会有这么一种情况,我们的SQL语句是由我们拼接的,如果用户故意输入可以让后台解析失败的字符串,这就是SQL注入,例如我们输入密码,输入 '''' ' or 1=1'' 这样,他会在后台进行拼接成select count(1) from table where username = 'username' and password = '' or 1=1;由结果可以看出,我们在没有密码的情况下依旧获取到了数据库的私密信息,由此可见${}存在很大的安全隐患。
MyBatis#{}和${}的用法
heliuerya的博客
06-15 2513
在实际开发有些数据量非常大,需要分表存储,然后分表查询,比如:日志信息表基本上是每天一张表,现有多张日志信息表:log_20230101、log_20230102、log_20230103…比如:在查询某班全体学生并按照姓名按照升序/降序排列的sql语句,当需要传入关键字asc"或"desc"的时候需要使用${}而不能使用#{},像这种需要传入。先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。的sql语句需要使用${},其它情况需要使用#{},用来防止出现sql注入现象。
MyBatis${}的用法
jushisi的博客
08-27 5700
参考: https://blog.csdn.net/weixin_44142296/article/details/96436951 ‘${}’ 传列名,使用聚合函数 表t_user有如下4 个字段:id 、name、 age 、 consume_amt 如果需求是有时候是要age的平均数, 有的是consume_amt的平均数,那么可以把列表传到SQL查询。如下: mapper.xml <select id="getAvg" parameterType="java.lang.Strin.
mybaits # $ 区别
06-08
在MyBatis#$都是用于传递参数的占位符,但它们的使用方式和作用是有所区别的。 - #符号:表示传递参数时使用预编译的语句,并将参数值安全地转义,防止SQL注入攻击。在SQL语句#号后面的参数会被自动转义为JDBC预编译语句的占位符,即"?"号。这种方式可以保证SQL语句的安全性,但会影响SQL执行的效率,因为每次执行SQL都会进行预编译操作。 - $符号:表示传递参数时使用非预编译的语句,直接将参数值拼接到SQL语句。在SQL语句$号后面的参数会被直接拼接到SQL语句,不会进行转义或者预编译。这种方式可以提高SQL执行的效率,但会存在SQL注入攻击的风险。 因此,在使用MyBatis进行SQL语句操作时,#符号和$符号的选择需要根据具体情况进行判断。如果需要保证SQL的安全性,可以使用#符号;如果需要提高SQL的执行效率,可以使用$符号。但无论使用哪种方式,都需要注意SQL注入攻击的风险,尽可能采取措施防范。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值