mysql中#{}和${}的区别

已于 2022-02-17 10:25:07 修改
阅读量4k 收藏 21
点赞数 5
分类专栏: mysql 文章标签: mysql sql 数据库
于 2022-02-11 14:39:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43296313/article/details/122880292
版权

mysql中#{}和${}的区别

#{}会将传入的数据当成一个字符串,会对自动传入的数据加一个单引号

select * from pue where name =#{name}

select * FROM pue WHERE name ='张三';

order by #{userId}   
这里假如userId = 111,那么解析成sql时会变成 order by '111'
这里如果userId = idStr,那么解析成sql时会变成 order by 'idStr'

${}会将传入的数据直接显示生成在sql中

select * from pue where name =${name}

select * FROM pue WHERE name =张三;

order by #{userId}  
这里假如userId = 111,那么解析成sql时会变成 order by 111
这里如果userId = idStr,那么解析成sql时会变成 order by idStr

#方式能够很大程度防止sql注入;$方式无法防止Sql注入。

$方式一般用于传入数据库对象,例如传入表名。

一般能用#的就别用$。MyBatis排序时使用order by 动态参数时需要注意,用$而不是#

默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用:

ORDER BY ${columnName}; 这里MyBatis不会修改或转义字符串。

例子:

在没有做防Sql注入的时候,我们的Sql语句可能是这么写的:

<select id="fetchStudentByName" parameterType="String" resultType="entity.StudentEntity"> SELECT id,name,age FROM student WHERE name = '${value}' </select>

在这里插入图片描述

但如果我们对传入的姓名参数做一些更改,比如改成anything’ OR ‘x’='x,那么拼接而成的Sql就变成了

SELECT id,name,age FROM student WHERE name = 'anything' OR 'x'='x'

在这里插入图片描述

库里面所有的学生信息都被拉了出来,是不是很可怕。原因就是传入的anything’ OR ‘x’='x和原有的单引号,正好组成了 ‘anything’ OR ‘x’='x’,而OR后面恒等于1,所以等于对这个库执行了查所有的操作。

防范Sql注入的话,就是要把整个anything’ OR ‘x’='x中的单引号作为参数的一部分,而不是和Sql中的单引号进行拼接

使用了#即可在Mybatis中对参数进行转义

<select id="fetchStudentByName" parameterType="String" resultType="entity.StudentEntity"> SELECT id,name,age FROM student WHERE name = #{name} </select>

我们看一下发送到数据库端的Sql语句长什么样子。

SELECT id,name,age FROM student WHERE name = 'anything\' OR \'x\'=\'x'
yololee_
关注
  • 5
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Mysqlexists和in的区别
shuiziliu1025的博客
11-04 778
最近在看各种大牛博客关于MySQL处理海量数据时用到的一些优化查询方法,其涉及到exists和in的使用效率的对比。 现在有两个表A,B表。 这条语句适合于A表比B表大 select * from A where id in (select id from B); 这条语句适合于B表比A表大 select * from A where id exists (select
Mysql——on和where的区别
baidu_39534448的博客
11-16 416
1.ON on不仅仅可以作为表的连接,也可以过滤条件。 select user_name ,dept_name from `user` as u join department as d on u.id>1 2.区别 1)解释 ON和WHERE的主要区别在于,on是执行在join语句之前,WHERE是执行在join语句之后。 join语句做的操作是加入外部行,比如说left,right,...
mysql#与$_mybatis#{}和${}的区别详解
weixin_30433439的博客
02-08 350
1. 概念#{}和${}都可以传输数据,两者的差异是编译的时期不一样#{}是一次编译,后续每次调用只是传递一个参数进去${}是每次都会编译,传递进去的数据会当做sql语句一起编译2. sql语句的编译sql语句编译有两种形式,即statement和PrepareStatement两种2.1 Statementstatement每次执行语句都要重新编译一次,然后在DBMS执行举例//stateme...
《深入理解mybatis原理(十二)》 mybatis深入理解之#与$区别
热门推荐
pfnie的博客
11-19 1万+
一、介绍       mybatis 使用 Mapper.xml里面的配置进行 sql 查询,经常需要动态传递参数,例如我们需要根据用户的姓名来筛选用户时,sql 如下: select * from user where name = "Jack";上述 sql ,我们希望 name 后的参数 "Jack" 是动态可变的,即不同的时刻根据不同的姓名来查询用户。在 Ma
MySQL # 和 $ 的区别
CodingGirl_的博客
10-08 2855
MySQL # 和 $ 的区别
MySQL#{}与${}的区别
赫颜i的博客
07-19 821
转载自:https://blog.csdn.net/qq_44172024/article/details/102741292 .
MySQL#{}和${}的区别是什么?
Fover_Night的博客
11-27 880
MySQL#{}和${}的区别是什么?
mysql $和#
心之所系的博客
03-14 3594
1.mybatis $的作用及使用规则  在mybatis,”${xxx}”这样格式的参数会直接参与sql编译,从而不能避免注入攻击。但涉及到动态表名和列名时,只能使用“${xxx}”这样的参数格式 2.mybatis$和#的区别  #xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql
mysql ${param}与#{param}使用区别
09-08
MySQL的编程和查询,有时我们需要将变量或参数插入到SQL语句。两种常见的方法是使用`${param}`和`#{param}`,它们在MyBatis等框架尤其常见。这两种方式虽然都能实现参数替换,但它们在处理和安全方面存在...
MYSQL char 和 varchar的区别
09-14
MySQL数据库,CHAR和VARCHAR是两种常用的字符串数据类型,它们在存储和处理字符串时有显著的区别。理解这些差异对于优化数据库性能和节省存储空间至关重要。 首先,CHAR和VARCHAR都是预定义长度的数据类型,但...
MySQLdatetime和timestamp的区别及使用详解
09-08
MySQL数据库,datetime和timestamp是两种常用的日期和时间数据类型,它们虽然都可以用来存储日期和时间信息,但在使用和处理上存在一些显著的区别。本文将深入探讨这两种数据类型的差异以及如何在实际应用选择...
MySQL Antelope和Barracuda的区别分析
09-10
MySQL数据库系统提供了多种文件格式,其Antelope和Barracuda是两个重要的InnoDB存储引擎的文件格式。这两种格式在MySQL的不同版本和特定功能上有所差异,对数据库性能和存储效率有着直接影响。 1. **Antelope文件...
简述Redis和MySQL区别
09-09
本文将详细介绍 Redis 和 MySQL 的主要区别,以便于更好地理解它们在实际应用的选择和使用。 首先,MySQL 是一个关系型数据库管理系统(RDBMS),它遵循 ACID(原子性、一致性、隔离性和持久性)原则,提供了事务...
select语句完整语法
HemingwayM的博客
05-08 4581
select 语句完整语法: 1) select 目标表和列名或列表达式序列 2) from基本表名和(或)视图序列 3) 【where行条件表达式】 4) 【group by 列名序列】 【having 组条件表达式】 5) 【order by 列名【asc | desc】】 写法顺序:select -from - where - group by - having - or...
详解MySql#{}和${}占位符
weixin_72125569的博客
09-08 4636
#{}和${}占位符 MySql处理sql语句过程 注入问题
mysql #和$的区别
qq_37361514的博客
07-04 2333
1、#和$的区别mybatis使用ParameterType向sql语句传参,在sql语句引用这些参数的时候,有两种方式#parameterName,$parameterName两者的区别:使用#parameterName方式引用参数的时候,Mybatis会把传入的参数当成是一个字符串,自动添加双引号。$parameterName引用参数时,不做任何处理,直接将值拼接在SQL语句。#是一个占位符,$是拼接符2、如何防止SQL注入使用#能够防止SQL注入,$不能避免注入攻击#的方式引用参数,mybati
mysql#和$得区别
Sunjin_shuai的博客
03-06 1118
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为or...
mysql$和_在数据库,$和#代表什么意思?
weixin_39612332的博客
01-20 5968
#{}与${}1.#{}实现向prepareStatement的预处理语句设置参数值,sql语句#{}表示一个占位符。SELECT*FROMUSERWHEREid=#{value}使用占位符可以防止sql的注入,在使用时不需要关心参数的类型,mybatis会自动的进行Java与jdbc的转换。#{}可以接受简单类型和pojo的属性值。如果parameterType...
MySQL表的增删查改
最新发布
Yuan_o_的博客
07-05 1267
- 把lisi尝试转换成int失败了第二种情况成功:上述这样的转换就是 “隐式类型转换” ,在Java是非常排斥这一点的比较支持隐式类型转换的称为“弱类型系统”,C/SQL对于隐式类型转换触发的情况更多不太支持隐式类型转换的称为“强类型系统”,虽然Java排斥,但是Java也有自动装箱、自动拆箱。
MySQL#和$ 的区别
06-03
MySQL ,"#" 和 "$" 都没有特殊含义,它们不具有任何SQL语句的作用,也不能用于注释。 但是,在 MySQL ,"#" 可以作为存储过程的注释符号。具体来说,当在存储过程使用 "#" 后,其后的内容会被视为注释,直到遇到下一个 "#" 符号或存储过程结束符 "END"。 而 "$" 在 MySQL 可以作为分隔符。在定义存储过程或函数时,可以使用 "$" 作为结束符,表示该存储过程或函数的定义结束。在执行这个存储过程或函数时,也需要使用 "$" 作为分隔符,将 SQL 语句与存储过程或函数的定义分隔开。 需要注意的是,使用 "#" 或 "$" 作为存储过程或函数的注释符号或分隔符需要事先设置 MySQL 的分隔符。可以使用 "DELIMITER" 命令来设置分隔符,例如 "DELIMITER #" 表示将 "#" 设置为分隔符。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值