# 和$的区别

最新推荐文章于 2023-08-05 16:05:13 发布
最新推荐文章于 2023-08-05 16:05:13 发布
阅读量2.8k 收藏 8
点赞数 2
分类专栏: sql注入攻击 文章标签: #与$d的区别
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44108717/article/details/101111603
版权

推荐能使用#就不要使用 $

a.#{ }

1.相当于JDBC中的PreparedStatement ,是经过预编译的,安全
2.会为参数自动拼接引号
3.执行sql效果

select * from user where uid="1" and username="cathy"

b.${ }

1.相当于JDBC中的Statement ,未经过预编译,非安全,存在sql注入危险
2.并不会给参数自动拼接引号
3.执行sql效果

select * from user where uid=1 and username=cathy

写一个sql注入的例子

假设该表中有1个用户,账号为cathy,密码为:pwd123
理想查询条件应为

select * from user where username=cathy and password=pwd123

后台sql代码

    String sql = "SELECT * " +
                 "FROM user "+
                 "WHERE username='"+userName+"' " +
                 "AND password='"+password+"'";

但是如果用户恶意输入:
用户名:随便输
密码 :’ OR ‘1’='1

那么实际查询的sql为

select * from user where username='lalalala' and password='' or '1'='1'

能显示登录,此则为sql注入攻击

Cathywang~
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mabitis中的#与$符号区别及用法介绍
08-31
主要介绍了Mabitis中的#与$符号区别,需要的朋友可以参考下
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
新人一看就懂: #{} 和 ${} 的区别
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
#和$的区别
C18298182575的博客
07-13 9268
MyBatis:#和$的区别 一、结论   #{}:占位符号,好处防止sql注入   ${}:sql拼接符号 二、具体分析 动态 SQL 是 mybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } 和 ${ } 会有不同的表现。 #{ }:解析为一个 JDBC 预编译语句(prepa
mybatis #{}和${}的区别是什么
weixin_30895603的博客
04-16 1587
#{}和${}的区别是什么?正确的答案是:#{}是预编译处理,${}是字符串替换。(1)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值。(2)mybatis在处理${}时,就是把${}替换成变量的值。(3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输...
$ 和 # 区别
paotaiaaaaaa的博客
03-31 909
他们之间的区别用最直接的话来说就是:#相当于对数据 加上 双引号,$相当于直接显示数据。 1、#对传入的参数视为字符串,也就是它会预编译,select * from user where name = #{name},比如我传一个csdn,那么传过来就是 select * from user where name = ‘csdn’; 2、将不会将传入的值进行预编译,select∗fromuserwherename=将不会将传入的值进行预编译,select * from user where name=将不会
#与$符号的区别
Jay_unique的博客
12-29 4214
#与KaTeX parse error: Expected 'EOF', got '#' at position 29: … 共同点: #̲和都是用来取值的 参数传递普通类型(基本数据类型和他的包装类。再加一个String) #: 正常发送的sql语句 SELECT * FROM t_student WHERE id=? $: 传递普通类型,它是要报错的,取不到值 参数传...
浅谈Mybatis #和$区别以及原理
08-18
主要介绍了浅谈Mybatis #和$区别以及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
浅谈mybatis中的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis中的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
主要介绍了Mybatis中#{}和${}传参的区别及#和$的区别小结 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
Mybatis下动态sql中##和$$的区别讲解
08-26
今天小编就为大家分享一篇关于Mybatis下动态sql中##和$$的区别讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
mybatis中的#和$的区别?
gol_phing的博客
08-12 737
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为
${}和#{}用法的区别详解
最新发布
weixin_62079735的博客
08-05 735
{}和#{}表达式是 Spring 框架中用于属性值获取和表达式求值的两种语法。${}用于静态属性注入,适合获取配置值;#{}用于动态计算和复杂逻辑,适合在运行时进行求值。根据您的需求,选择适当的表达式,可以更灵活地配置和操作 Spring 组件。
#与$的区别
weixin_59096287的博客
11-02 391
/*$和#都可以获取参数,但是 $不会拼接字符串不安全低效,#会自动拼接字符串而且高效安全避免了SQL攻击问题*/ #{}是占位符:动态解析 ->预编译-> 执行 ${}是拼接符:动态解析 -> 编译-> 执行 select * from `role` where name= ${name} 因为${}是拼接符,会直接替换,所以实际是: select * from `role` where name= '富贵' or name = '狗蛋' ...
mybits中# $的区别
正在进行时
05-06 1875
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的
#和##的用法
热门推荐
iot小胡的博客
12-12 9万+
简介 C语言中经常用到 # 和 ##, 很多初学者不知道他们什么什么意思, 这儿我简单科普一下. #的用法 当做 replacement-text令牌, 转换为引号引起来的字符串 ... #define TO_STR(x) #x int main() { int value = 123; printf("TO_STR(value) = %s\n", TO_STR(value)); printf("TO_STR(123) = %s\n", TO_STR(value)); }
C语言宏定义中 ## 和#的作用
p=f/s
07-19 2万+
写在前面: 写这篇blog也是透漏出了自己C语言有些比较偏的知识点中确实没有掌握好的弱点,还是那句话,不怕有问题,有问题就要及时弥补。 正文: 1、## 作用: 先看例子吧: 从上面例子可以总结出,##的作用就是把2个宏参数连接为1个数。 当然也可以实现字符串的连接,如下: 2, #作用 先看例子: ...
#{}和${}
努力赚钱就可以住更好的养老院
07-24 1万+
#{}:表示一个占位符号,通过#{}可以实现preparedStatement向占位符中设置值,自动进行java类型和jdbc类型转换,#{}可以有效防止sql注入。 #{}可以接收简单类型值或pojo属性值。 如果parameterType传输单个简单类型值,#{}括号中可以是value或其它名称。 “%”#{name}”%” ${}:表示拼接sql串,通过${}可以将parameterTy...
#{}和${}的区别
lt_zl的博客
04-19 7778
#{} 和 ${}的区别,如何在实际应用中使用 在平常写mybatis的动态SQL语句时,大多使用的是#{} 。至于${} ,没用过,也不知道是什么。实际大多数情景下,我们使用的也都是#{},很少有场景会用到${}。 1.两者的区别 #{}:使用的是预编译,对应JBDC中的PreparedStatement ${}:mybatis不会修改或者转义字符换,直接输出变量值 2.实际应用 举例:...
MyBatis的#和$区别
04-08
MyBatis是一种Java持久化框架,它可以将SQL语句和Java代码进行分离,从而简化开发过程。它支持多种数据库,包括关系型数据库和NoSQL数据库,同时还提供了一些高级特性,如一级缓存、二级缓存、延迟加载等。MyBatis...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值