mybatis中#{}和${}的区别以及SQL注入问题

最新推荐文章于 2024-05-15 23:43:08 发布
最新推荐文章于 2024-05-15 23:43:08 发布
阅读量2.1k 收藏 11
点赞数 4
文章标签: sql mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47331155/article/details/121907210
版权

动态传输的标识:

#{} :表示从接口声明的方法参数中获取参数,并设置到此sql语句当中。

${}:表示从接口声明的方法参数中获取参数,并设置到此sql语句当中。

例如:
这么一个mapper层的接口方法:
在这里插入图片描述
执行的test,如下:
在这里插入图片描述

如果在mapper.xml文件中使用#{}:
在这里插入图片描述
会运行报错:
在这里插入图片描述
如果在mapper.xml中使用${}:
在这里插入图片描述
那么可以正常的得到查询结果:
在这里插入图片描述从这个例子中,我们可以看到:如果使用的是#{},那么会给替换的值加上单引号,这样的话拼接的sql语法就错了,就会导致查询错误。

  1. 当替换SQL的信息为非系统(Mysql)关键字的时候,一定要使用#{}(这样可以预防SQL注入,因为如果有人恶意输入系统关键字的话,比如删库什么的,#{}会在上面加上引号,让其sql语法错误失效)
  2. 当替换的SQL为系统(Mysql)关键字的时候,一定要使用${};

在模糊查询中也应该使用${},道理也是#{}的话会给输入的参数加上一个单引号导致sql语法错误。

![在这里插入图片描述](https://img-blog.csdnimg.cn/259fd269bc1e4e988c00e0e86a5b6fe8.png

SQL注入问题

当使用${}的时候,会带来一个很严重的安全问题:sql注入问题
sql注入问题:使用一个特殊的sql查询了一个本来不应该查询到的内容,或者说做了一个本来不应该做的事。
举一个SQL注入问题的例子(拿一个模糊查询来举例):
mapper:
在这里插入图片描述
mapper.xml:
在这里插入图片描述
输入参数之前的sql语句为:

select * from userinfo where username like '%${username}%'

如果说输入这么一个参数:

%';delete from userinfo where username='%

那么拼接之后,就会形成一个(两个)新的sql语句:

select * from userinfo where username like '%%';
delete from userinfo where username='%%'

这样的话就很容易导致很严重的问题,删表。

如何解决SQL注入问题

1.方法一: Mapper类
因为mapper类只有开发人员才会调用,无论黑客还是什么他们只会到达controller层,所以可以手动的排查掉sql注入的关键字,比如:‘/or/and等等可以将其手动排除掉。
在这里插入图片描述

  1. 方法二:使用系统提供的参数来进行参数拼接(第二种方法仅适用于模糊查询)
    利用mysql中的concat
    在这里插入图片描述
    使用#{}可以防止sql注入的问题。
王根生
关注
  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL —— #{} 和 ${}
看了就会暴富的博客!
11-17 3393
问题 sql语句可以使用#{} 或${}进行传参,那么他们有什么区别,使用上有什么需要注意的地方呢? 解决 在预编译的处理是不一样的。#{} 在预处理时,会把参数部分用一个占位符 ? 代替,变成如下的 sql 语句:select * from a where name = ?; 而 ${} 则只是简单的字符串替换,在动态解析阶段,该 sql 语句会被解析成:select * from a where name = 'zhangsan'; 实际使用 优先使用 #{}。因为 ${} 可能会导致..
sql语句 #{}与${}的用法
热门推荐
cmjimmy的博客
08-24 1万+
1介绍 测试 ${} 在没有特殊要求情况下,通常我们使用#{}占位符,有些情况下必须使用${}了解即可 例如:需要动态拼接表名. 下面是模糊查询的应用#{}与${} 下面是错误的使用#{} 下面是正确的方式使用#{}模糊查询 掌握. ...
sql语句#{}和${}的区别
m0_67678232的博客
07-13 1518
sql ${} 和 #{}的区别
sql注入介绍与实例操作( #{}和${})
weixin_43005654的博客
04-30 1921
sql注入介绍及实例操作(#{}、${})
${}和#{}的区别以及${}的sql注入问题
acsfvsv的博客
10-15 932
最近看到了这个问题,然后深入了解了一下这个sql 的注入问题,本片文章将会介绍他们的区别以及sql注入问题
sql语句的符号】(通配符+#{}+${})
灵活的小胖子
08-17 8907
背景:别人写的代码,由于数据库添加了一个is_delete(0:未删除;1:已删除)字段用来做假删除,大家都知道,如果说一条数据删除了,那么肯定是不能查出来的了,因此,我的任务就是修改由于添加一个字段而引发的灾难。 问题: 我们的sql: select i.id, i.project_id, i.sets, i.name, i.length, i.likes, i.url, i.type, p.project_name from
sql ${} 和 #{}的区别
qq_34266804的博客
03-01 621
sql对于传入参数有两种写法,刚开始学的时候总是不知道是什么原因,故此写下此笔记作为解释: $将传入的数据直接显示生成在sql,那么我们使用 ${}的时候 select * from user where name = ${name}; ${}在动态解析的时候,会将我们传入的参数当做String字符串填充到我们的语句,就会变成下面的语句 select * from u...
关于mybatis用${}会sql注入问题
weixin_61503139的博客
09-17 685
sql注入
浅谈mybatis的#和$的区别 以及防止sql注入的方法
09-01
下面小编就为大家带来一篇浅谈mybatis的#和$的区别 以及防止sql注入的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
mybatis防止SQL注入的方法实例详解
08-27
SQL注入是一种很简单的攻击手段,但直到今天仍然十分常见。那么mybatis是如何防止SQL注入的呢?下面脚本之家小编给大家带来了实例代码,需要的朋友参考下吧
Mybatis防止sql注入的实例
08-30
本文通过实例给大家介绍了Mybatis防止sql注入的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
mybatissql_mybatis解决sql注入
12-22
全新的sql框架
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
mybatis ${} sql注入
心帆唯一的专栏
04-28 8928
mybatis${}的sql注入解决方案 主要解决sql的like 、in 、order by 注入问题,其他查询也可以参照下面解决建议 首先#{}和${}在预编译的处理是不一样的。 #{}在预处理时,会把参数部分用一个占位符 ?代替,变成如下的sql语句: select * from user where name = ?; ${}则只是简单的字符串替换,在动态解析
SpringBoot使用${sql}执行业务逻辑
weixin_61503139的博客
05-22 432
1.控制层 @GetMapping("importData2") public Result SqlPin() { dictService.SqlPin(); return Result.ok(); } 2.业务层接口 3.业务层,随便拼接一个Sql @Override public void SqlPin() { StringBuilder builder = new StringBuilder(); String sql = builde
【安全】mybatis#{}和${}导致sql注入问题及解决办法
漆黑梦工厂
10-23 2741
使用mybatis的时候遇到了#{}和${}可能导致sql注入问题
MyBatis动态表名或动态排序直接使用${}而引发SQL注入安全漏洞的修复解决方案
eguid音视频技术分享(JavaCV教程、FFmpeg教程、openCV图像处理教程、音视频教程)
07-20 2215
MyBatis能用#{}尽量用#{},而本文主要解决必须要用${ }的情况下,如何解决${}导致的SQL注入安全漏洞修复。
消息摘要算法与密码加密
weixin_48206782的博客
09-13 411
首先,对密码进行加密后,再存储,是非常有必要的!并且,主要的防范对象通常是内部员工!需要注意,对密码进行加密处理时,不可以使用加密算法!因为,所有的加密算法都是可以加密,也可以解密的!加密算法的核心价值在于保证数据在传输过程是安全的,并不保证数据存储的安全!对需要存储的密码进行加密处理时,应该使用消息摘要算法,其本质是一种哈希算法,是不可逆向运算的!消息相同,则摘要相同无论消息长度,摘要的长度是固定的(同一种算法)消息不同,则摘要几乎不会相同。
SQL进阶(六):通关题:制作一个活动日历
最新发布
qq_33489955的博客
05-15 572
就是求当月的最后一天是周几,周六算1天,周日算两天SELECT(CASEELSE 0FROMGROUP BYyear_monthSELECTFROM[(5,)]a4 = '5' # 在 '' 填入你的结果,如 a4 = '5' 代表有个 5 个周末(周六,周日分开计算,例如 2个周六 和 3个周日 = 5个周末)
mybatis#和$的区别
06-07
MyBatis,#和$都是用于替换SQL语句的占位符的符号,但它们的处理方式不同。 #号表示占位符,通过预编译的方式将传入的参数值进行安全的替换,防止SQL注入攻击,同时将参数值转换为对应的JDBC类型。例如: ``` SELECT * FROM user WHERE id = #{userId} ``` 在执行SQL时,#{userId}会被替换为一个?号占位符,同时userId参数的值会被预编译并设置为PreparedStatement的参数值。 $号则表示直接替换,将SQL语句的占位符替换为传入的参数值,并不进行预编译和JDBC类型转换。例如: ``` SELECT * FROM user WHERE id = ${userId} ``` 在执行SQL时,${userId}会被替换为实际的参数值,不会进行预编译和JDBC类型转换,如果参数值存在SQL注入攻击的风险,就会导致SQL注入攻击。 因此,一般情况下我们建议使用#号进行参数替换,以保证SQL语句的安全性。但如果需要动态拼接SQL语句,或者需要使用一些特殊的SQL语法,可以使用$号进行参数替换。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值