mybatis中 # 号和 $ 符的区别

已于 2023-01-18 16:00:16 修改
阅读量2k 收藏 13
点赞数 3
分类专栏: 后台 文章标签: mybatis中#号和 $符的区别
于 2018-11-22 10:03:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43201015/article/details/84334379
版权

mybatis#号和$符的区别?

区别

1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于

select id,name,age from student where id ='1'.

使用#可以很大程度上防止sql注入。(语句的拼接) ,

为什么#可以防止sql注入:mybatis中#不会对传值做处理,$会对特殊字符过滤

2 & 是将传入的数据直接显示生成sql语句,, 当前端把id值1,传入到后台的时候,就相当于

eg: select id,name,age from student where id =${id}
select id,name,age from student where id = 1.

SQL注入

就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令

预防

1.(简单又有效的方法)PreparedStatement

采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。

使用好处:

(1).代码的可读性和可维护性.

(2).PreparedStatement尽最大可能提高性能.

(3).最重要的一点是极大地提高了安全性.

原理:

sql注入只对sql语句的准备(编译)过程有破坏作用

而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,

而不再对sql语句进行解析,准备,因此也就避免了sql注入问题.

2.使用正则表达式过滤传入的参数

要引入的包:

import java.util.regex.*;

正则表达式:

private String CHECKSQL = “^(.+)\sand\s(.+)|(.+)\sor(.+)\s$”;

判断是否匹配:

Pattern.matches(CHECKSQL,targerStr);

下面是具体的正则表达式:

检测SQL meta-characters的正则表达式 :

/(%27)|(\’)|(--)|(%23)|(#)/ix

典型的SQL 注入攻击的正则表达式 :/\w*((%27)|(\’))((%6F)|o|(%4F))((%72)|r|(%52))/ix

检测SQL注入,UNION查询关键字的正则表达式 :/((%27)|(\’))union/ix(%27)|(\’)

检测MS SQL Server SQL注入攻击的正则表达式:

/exec(\s|+)+(s|x)p\w+/ix

Do Re Mi
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
Mybatis下动态sql##$$区别讲解
08-26
Mybatis下动态sql##$$区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
Mybatis#{}和${}传参的区别#$区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
#$区别
ahkslm7074的博客
09-28 202
#是将传入的值当做字串的形式,可以防止sql注入 $是将传入的数据直接显示生成sql语句 转载于:https://www.cnblogs.com/Ysuwade/p/7606754.html
mybatis#$号的区别
清行陌华的博客
02-23 2222
mybatis#$号的区别 #{} 使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement时,sql语句的参数会用?作占位,可以防止sql注入。 使用#{}时形成的sql语句,组成sql语句的时候把参数默认为字串,带有引号,例: select * from student where id=#{id} 调用这个语句时可以通过后台看到打印出的sql...
mybatis - 取值号:#$区别
最新发布
pig_ning的博客
04-25 530
mybatis - 取值号:#$区别
mybatis#号和$区别
weixin_43042787的博客
01-20 282
#相当于对数据加上双双引号,KaTeX parse error: Expected 'EOF', got '#' at position 13: 相当于直接显示数据 1.#̲将传入的数据都当成一个字串,…将传入的数据直接显示生成在sql 3.#方式能够很大程度的防止sql注入 4.无法防止sql注入5.无法防止sql注入 5.无法防止sql注入5.方式一般用于传入sql数据库对象,例如表名 6....
面试常问:通过代码实践理解mybatis#$区别及联系,一定要正确使用
qq_36833673的博客
06-14 534
mybatis的mapper.xml,入参我们可以用#$号来取,那么,这两个有什么区别及联系呢,常说$容易带来sql注入风险,到底是怎么样的呢?今天,直接通过代码实践,看看两者有什么区别。 测试数据为: 1:通过#取值,入参为studentId,代码如下: <mapper namespace="com.example.demo.DAO.HelloWorldDAO"> <select id="query" parameterType="String" resul.
【ibatis】ibatis $#区别
龙腾四海365的专栏
04-06 1581
ibatis $#区别 我们在使用iBATIS时会经常用到#$这两个号。 一 .#$区别说通俗一点就是          $间的变量就是直接替换成值的          #会根据变量的类型来进行替换          比如articleTitle的类型是string, 值是"标题"的时候               $articleTitle$ = 标题
浅谈mybatis#$区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位: - `#`将传入的数据...
浅谈Mybatis #$区别以及原理
08-18
Mybatis是一款流行的持久层框架,它提供了两个占位#$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #$区别Mybatis#$都是占位,但是它们...
MyBatis#号与美元号的区别
08-31
MyBatis框架#号和美元号($)在动态SQL的使用有着显著的区别,这些差异直接影响到SQL语句的预编译、类型匹配以及安全性。 首先,#{}是MyBatis的预编译占位。当使用#{变量名}时,MyBatis会进行预编译处理...
Mybatis防止SQL注入---mybatis#$区别------#{id}与${id}
money-k的博客
05-09 513
Mybatis#$区别: 1、# 通过日志查看: 因为MyBatis启用了预编译功能,在SQL执行前,会先将上面的SQL发送给数据库进行编译;执行时,直接使用编译好的SQL,替换占位“?”就可以了。因为SQL注入只能对编译过程起作用,所以这样的方式就很好地避免了SQL注入的问题。 2、$ 通过日志查看: 在MyBatis,“${id}”这样格式的参数会直接参与SQL编译,从而不能避免注入攻击。但涉及到动态表名和列名时,只能使用“${id}”这样的参数格式。所以,这样的参数需要我们在代码手工
返回自增id的id值 #{} 和${}的区别 sql语句的比较运算
weixin_52296931的博客
03-01 812
返回自增id的id值 新增用户的是偶我们都是通过主键自增来完成的,所以不知道怎么查看增加的id值,我们可以喜阳光sql语句来完成返回邢增id值得操作 直接在接口对应的xml文件下面写代码,在mapper 里面 <!--添加用户信息--> <insert id="addUser" parameterType="user" > <!--使用内部的标签selectKey 获取新增用户的id值 resultType 返回值类型指定为int
注解CRUD#$区别
ruo980的博客
07-31 141
//方法存在多个参数,所有的参数前面必须加上@Param(“id”)注解 @Delete(“delete from user where id = ${uid}”) int deleteUser(@Param(“uid”) int id); 关于@Param( )注解 基本类型的参数或者String类型,需要加上 引用类型不需要加 如果只有一个基本类型的话,可以忽略,但是建议大家都加上 我们在SQL引用的就是我们这里的@Param()设定的属性名 总结: 有两种方式带参:“$””#” 主要区别就是#带双
#{}和${}的区别是什么?
weixin_44329885的博客
06-17 188
动态 sql 是 MyBatis 的主要特性之一,在 mapper 定义的参数传到 xml 之后,在查询之前 MyBatis 会对其进行动态解析。MyBatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 面试题:#{}和${}的区别是什么? 1)#{}是预编译处理,$ {}是字串替换。 2)MyBatis在处理#{}时,会将SQL#{}替换为?号,使用PreparedStatement的set方法来赋值;MyBatis在处理 $ { } 时,就是把 ${ } 替换成变量的值
MyBatis学习:动态SQL
sssxlxwbwz的博客
02-09 1251
MyBatis 的强大特性之一便是它的动态SQL。 一、if用法: if 标签通常用于WHERE语句,通过判断参数值来决定是否使用某个查询条件,它也经常用于UPDATE语句判断是否更新某一个字段, 还可以在INSERT 语句用来判断是否插入某个字段的值。 1.1 WHERE条件使用IF 假设现在有一个需求: 实现一个用户管理高级查询功能,根据输入的条件去检索用户信息。这个功能还需要支持以下三种情况: 当只输入用户名时,需要根据用户名进行模糊查询;当只输入邮箱时...
Mybatis#$区别
热门推荐
伏颜的博客
07-11 1万+
Mybatis#$区别
mybatis#$区别
06-07
MyBatis#$都是用于替换SQL语句的占位号,但它们的处理方式不同。 #号表示占位,通过预编译的方式将传入的参数值进行安全的替换,防止SQL注入攻击,同时将参数值转换为对应的JDBC类型。例如: ``...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值