#{}、${}、PreparedStatement 、Statement 详解

最新推荐文章于 2024-05-21 19:15:40 发布
最新推荐文章于 2024-05-21 19:15:40 发布
阅读量304 收藏
点赞数
分类专栏: java基础 java框架基础 Mybatis 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43601094/article/details/117619841
版权

#{}和${}的区别 类似于 PreparedStatement和Statement的区别。

#{}和PreparedStatement,会预编译sql语句,然后通过展符的方式进行赋值,并能够把java的数据类型转为jdbc类型,如java字符串“1”,会转为‘1’,java int类型1,会转为jdbc的int类型1,并且能够对特殊字符进行转义

${}和Statement会直接拼接sql,不会进行处理,如sql语句String sql = "select * from table where column = ",拼接输入的值String column = “1001”后 sql += column,最终在数据执行的sql是select * from table where column = 1001(报错,因为没有1001会被当作列名处理,而不是字段值)。如通过占位符的方式,最终执行的sql将是select * from table where column = ‘1001’。

若想让拼接的sql能正常只执行,必须手动加入’‘。如String sql = "select * from table where column=’ "; String cloumn = “1001”; sql += column; sql += " ’ ";。拼接后最终执行的sql:select * from table where column=‘1001’。

sql注入。对于输入值String column = " ’or 1=1 or ’ ";通过预编译的方式,最终在数据库中执行的sql:select * from table where column = '\ ’ or 1=1 or\ ’ ',会进行转义。若通过字符串拼接的方式,最终执行的sql:select * from table where ‘’ or 1=1 or ‘’,出现sql注入问题

  1. #{}
// #{}, PreparedStatement测试
String sql = "SELECT * FROM student_t WHERE STU_NAME=?";
try{
	// connection数据库连接创建过程省略。
	PreparedStatement preparedStatement = connection.preparedStatement(sql);
	// 与编译后的SQL:SELECT * FROM student_t WHERE STU_NAME=** NOT SPECIFIED **。执行时不再编译sql语句
	// 占位符赋值,
	// 测试1
	preparedStatement.setObject(1,"test");
	// 赋值后SQL:SELECT * FROM student_t WHERE STU_NAME='test'。
	// 会进行java与JDBC数据类型转换,java字符串类型“test”转为jadbc类型'test'

	// 测试2
	// preparedStatement.setObject(1,"test");
	// preparedStatement.setObject(1,1001);
	// 赋值后SQL:SELECT * FROM student_t WHERE STU_NAME=1001。
	// 会进行java与JDBC数据类型转换,java int类型1001转为jdbc的int类型1001
}
  1. ${}
// ${} Statement测试
String sql = "SELECT * FROM student_t WHERE STU_NAME=";
try{
	// 创建数据库语句声明
	Statement statement = connection.createStatement();
	// 测试1
	// sql += "test"
	// statement.executeQuery(sql);
	// SQL语句:SELECT * FROM student_t WHERE STU_NAME=test
	// JDBC不会把test当作字符串处理,会直接在数据库中执行上面sql语句,test会被当作数据库字段处理
	
	// 测试2
	// sql += " ' ";
	// sql += "test";	// ' 不能在这加,用户输入的值是test,不是'test'。
	// sql += " ' ";
	// statement.executeQuery(sql);
	// sql语句:SELECT * FROM student_t WHERE STU_NAME='test';
	// 语句正常执行
	
	// 测试3 sql注入
	// sql += " ' ";
	// sql +=" 'or 1=1 or ' ";
	// sql += " ' ";
	// statement.executeQuery(sql);
	// sql语句:SELECT * FROM student_t WHERE STU_NAME='' or 1=1 or'';
}
_孤鸿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解Java的JDBC中Statement与PreparedStatement对象
09-03
主要介绍了详解Java的JDBC中Statement与PreparedStatement对象,PreparedStatement一般来说比使用Statement效率更高,需要的朋友可以参考下
Java数据库连接PreparedStatement的使用详解
08-29
主要介绍了Java数据库连接PreparedStatement的使用详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
#和$ 的区别 Statement和PreparedStatement的区别
qq_45243872的博客
11-14 272
Statement -》有SQL注入风险 select * from user where uname=“admin” and pwd=“123456” -》 只要sql语句不一样就会编译一次 select * from user where uname=“admin” and pwd=“123467” -》 只要sql语句不一样就会编译一次 admin 123456 select * from user where uname=“dfa” or “1=1” and pwd=“2321” or “1
MyBatis——占位符(#{}和${}的理解,实体符号在mapper文件的的表示,模糊查询(like)
莫得感情得码农
06-07 898
1.占位符#{}和${}的对比 MyBatis处理#{}使用jdbc对象是PrepareStatement对象 #{}占位符的特点:1)使用的PrepareStatement对象,执行sql语句,效率高 2)使用的PrepareStatement对象,能够避免sql注入,sql语句更加安全。 3)#{}常常作为列值使用,位于等号的右侧,#{}位置的值和数据类型有关。 ${...
JDBC(五)PreparedStatement 详解
weixin_33962923的博客
03-03 302
PreparedStatement 是一个特殊的Statement对象,如果我们只是来查询或者更新数据的话,最好用PreparedStatement代替Statement,因为它有以下有点: 简化Statement中的操作 提高执行语句的性能 可读性和可维护性更好 安全性更好。 使用PreparedStat...
Mybatis-#{xxx}和${xxx}的区别&&PreparedStatementStatement的区别
qq_25243147的博客
04-05 190
#{xxx}:Mybatis首先对SQL语句进行预编译,再设置参数,最后交给数据库执行,能防止SQL注入。 ${xxx}:Mybatis首先将参数和SQL语句进行拼接,再交给数据库进行编译和执行。一般用于传输关于表或字段信息的值 预编译:PreparedStatement对象先将SQL语句发送给数据库服务器来进行预编译(SQL语句分析、优化),预编译前用占位符替代参数。预编译后会返回SQL语句模板,再次只需SQL时使用只需设置参数,数据库服务器不需要进行分析、优化。 预编译的优点: (1)提高SQL执行.
SQL 注入问题的解决(PreparedStatement)
一切随缘的博客
11-19 8143
上篇博客结尾提到了代码的不足:存在SQL注入问题。下面演示一下什么是SQL,注入问题。(就拿上篇的代码举个例子)以上为正常现象,但有些“不法分子”抓住了代码的漏洞,干了一些不为人知的事情。What!竟然登录成功了!发生了甚么?让我们Debug一下,一探究竟。‘1’='1’为true,从而导致了整个柿子返回结果为true。
mybatis中$和#号的区别
quwea123的博客
07-10 449
#{}表示一个占位符号,通过#{}可以实现preparedStatement占位符中设置值,自动进行java类型和jdbc类型转换,#{}可以有效防止sql注入。 #{}可以接收简单类型值或pojo属性值。 如果parameterType传输单个简单类型值,#{}括号中可以是value或其它名称。 “%”#{name}”%” ${}表示拼接sql串,通过${}可以将parameterType
statement和prepareStatement的区别
热门推荐
HaC 的博客
09-16 1万+
一、语法 两者的语法区别 statement语法 Statement stmt = connect.createStatement(); String sql= "SELECT * FROM cg_user WHERE userId=10086 AND name LIKE 'xiaoming'"; ResultSet rs = stmt.executeUpdate(sql); prepar...
mybatis #{}相当于prepareStatement,${}相当于Statement
91奔跑的蜗牛
12-02 883
场景,测试下prepareStatementStatement 拼接 in 条件的情况。 prepareStatement 正常写法,执行成功 public static void main(String[] args) throws Exception{ Connection conn = JdbcUtils.getConn(); PreparedStatement ...
java中PreparedStatementStatement详细讲解
08-25
主要介绍了java中PreparedStatementStatement详细讲解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
PreparedStatementStatement
03-22
NULL 博文链接:https://stevenjohn.iteye.com/blog/968877
Statement和PreparedStatement之间的区别
01-14
Statement和PreparedStatement之间的区别
PDOStatement对象的使用
Enya_Wu的博客
11-28 1418
1.quote()方法防止SQL注入//通过返回带引号的字符串,过滤字符串中的特殊字符 $username = $pdo->quote($username); //sql语句中便不需要增加''单引号了 $sql = "SELECT * FROM user WHERE username = {$username} AND password = '{$password}';//PDOStatement
Statement和PreparedStatement的区别及占位符使用方法
lzhNox的博客
07-19 1344
Statement与PreparedStatement的区别及占位符使用
JavaStatement的SQL注入问题
m0_63217468的博客
08-26 881
JavaStatement的SQL注入问题
MyBatis
敲代码的彭于晏
09-22 756
1、#{}和${}的区别是什么? Mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值;mybatis在处理${}时,就是将${}替换成变量的值. PS:使用#{}可以有效的防止SQL注入,提高系统安全性(语句的拼接),如果使用在order by 中就需要使用 ${}。 最大区别在于:#{} 传入值时,sql解析参数是带引号的,而${}传入值时,sql解析参数是不带引号的。 --Mybatis在处理#{}时 select id,na
【JDBC】PreparedStatement防止SQL注入的原理、MyBatis中#和$的区别
ACTIM的博客
07-20 383
1. PreparedStatement防止SQL注入的原理 众所周知,JDBC中可以使用PreparedStatement防止sql注入,那么PreparedStatement是如何防止sql注入呢?让我们先来看一下源码: /** * Set a parameter to a Java String value. The driver converts this to a SQL...
android高斯模糊填充imageview背景
最新发布
cf8833的博客
05-21 556
说明:最近碰到一个需求,安卓app显示在线的url图片,然后imageview没占满的部分,使用该图片的模糊背景填充。
preparedstatementstatement
04-04
PreparedStatementStatement都是Java中的SQL接口,用于执行SQL查询和更新操作。它们的主要区别在于: 1. PreparedStatement是预编译的语句,而Statement是每次执行时编译的语句。 2. PreparedStatement可以防止...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值