SQL中#与$的区别

最新推荐文章于 2024-05-14 09:30:00 发布
最新推荐文章于 2024-05-14 09:30:00 发布
阅读量3.4k 收藏 15
点赞数 1
文章标签: java mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47918681/article/details/108747659
版权

一 、在这里用到了#{},使用#时:

1、用来传入参数,sql在解析的时候会加上” “,当成字符串来解析 ,如这里 role_id = “roleid”;

2、#{}能够很大程度上防止sql注入;

延伸:

1、用{roleId,jdbcType=INTEGER},那么sql在解析的时候值为roleId = roleId,执行时会报错;

2、${}方式无法防止sql注入;

3、$一般用入传入数据库对象,比如数据库表名;

4、能用#{}时尽量用#{};

注意:

mybaties排序时使用order by 动态参数时需要注意,使用${}而不用#{};

二、主要区别就是#带双引号,$不带

例如:#{id}代表’id’,${id}代表id

1、用来传入参数,sql在解析的时候会加上” “,当成字符串来解析 ,如这里 role_id = “roleid”;

下面是Mybatis @Select注解方式的sql

@Select(“select id,name from user where id=#{id}”)
public User getUser(@Param(“id”)long id);

@Select(“select id,name from user where id=${id}”)
public User getUSer(@Param(“id”)long id);
如果id传入为1,则实际sql为

select id,name from user where id=‘1’

select id,name from user where id=1
Mybaits方法有一种情况

@Select(“select id,name from user where id=#{id}”)
public User getUser(@Param(“id”) long id);

@Select(“select id,name from user where id=#{id}”)
public User getUser(long id);
第二种因为传一个参数是可以省略@Param("")的,但是这种情况下不能使用${},

传两个参数以上时,必须要写@Param("")
————————————————————————————————————

2、#{}能够很大程度上防止sql注入;

防止SQL注入方法:

首先,永远不要相信用户的输入。

(1)不使用SQL,考虑NoSQL。

(2)正则表达式,字符串过滤。

(3)参数绑定PreparedStatement。

(4)使用正则表达式过滤传入的参数。

(5)JSP中调用该函数检查是否包函非法字符或JSP页面判断代码。JSP参考JSP使用过滤器防止SQL注入

userqjx
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql注入实例分析
weixin_30624825的博客
07-23 3431
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执...
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
新人一看就懂: #{} 和 ${} 的区别
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
MyBatis之动态SQL、#与$的区别和结果映射
weixin_74268571的博客
08-24 2771
MyBatis动态SQL的概念与常用元素,三种模糊查询的方式以及#和$的区别,Mybatis的结果映射---resultType与resultMap的区别
SQL 常用脚本大全
最新发布
吴名氏的博客
05-14 1576
SQL 常用脚本大全
SQL语句
silence_lu_的博客
08-01 409
区别: (1)#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是id,则解析成的sql为order by "id"。 (2)$将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是id,则解析成的sql为order by id。 (3)#方式在很大程度上能够防止sql注入。 (4)$...
史上最全SQL基础知识总结(理论+举例)
热门推荐
PILIpilipala的博客
02-13 17万+
SQL基础知识一、SQL 概述1、什么是 SQL2、语法要求二、SQL 分类三、DDL(Data Definition Language):数据定义语言基本操作1.操作数据库2.数据类型3.操作表四、DML(Data Manipulation Language):数据操作语言1.插入数据2.修改数据3.删除数据五、DCL(Data Control Language):数据控制语言1.创建用户2.给用户授权3.撤销授权4.查看用户权限5.删除用户6.修改用户密码(以root身份)六、DQL(Data Quer
SQL Server】#、##、@、@@分别代表什么
指错||纠正||建议||水评+点赞&&评论&&关注&&转发,在这里你大概率会有所收获
07-14 8323
SQL.@,@@、#,##含义
SQL Server2019(Developer版)免费下载安装教程
mariodf的博客
01-10 3万+
1.进入到官网 https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.点击立即下载 3.点击保存文件,进行下载 3.选择自定义安装 4.更改安装位置 5.等待安装 6.安装完成后,会弹出这个界面,选择安装-全新SQL Server独立安装或向现有安装添加功能 7.点击下一步 8.记得勾选我接受,然后点击下一步 9.这里可以根据自己选择进行勾选 10. 这里我的出现防火墙警...
Mabitis的#与$符号区别及用法介绍
08-31
在MyBatis,`#`和`$`符号在SQL动态语句扮演着不同角色,它们的主要区别和用法如下: 一、`#`与`$`的区别 1. `#{}`:MyBatis将`#{}`视为PreparedStatement的参数标记符。当SQL语句的`#{}`被解析时,它会被...
浅谈Mybatis #和$区别以及原理
08-18
Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在Mybatis,#和$都是占位符,但是它们...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
在MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis的#和$的区别 以及防止sql注入的方法
09-01
在MyBatis,`#`和`$`在动态SQL的使用有着明显的区别,它们在处理传入数据的方式上有所不同,同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
sql语句#{}和${}的区别
liulang68的博客
10-31 1986
#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”。 $将传入的数据直接显示生成在sql。如:order by userid,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sql为order by id。 #方式能够很大程度防止sql注入;$方式
SQL#和$的区别以及使用它们会造成的问题
qq_37511997的博客
05-17 2240
不同点 ●使用#获取传入的数据会在数据上加上引号。比如 where userId = #{userId },如果userId传入的值为1,那最终的sql就是 where userId = “1”; ●使用$获取传入的数据不会对数据做任何改变,比如 where userId = #{userId },如果userId传入的值为1,那最终的sql就是 where userId = 1; ● #能够一定程度上防止SQL注入 ● $无法防止SQL注入 ● $一般用于传入数据库对象,例如传入表名。(仍会存在S
Sql$和#号的区别,以及预编译的好处
qq_40274514的博客
08-15 2608
1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'. 2 $是将传入的数据直接显示生成sql语句,eg:select id,name,age from student ...
sql#与$的区别
我的博客
03-08 9428
在这里用到了#{},使用#时:1、用来传入参数,sql在解析的时候会加上” “,当成字符串来解析 ,如这里 role_id = “roleid”;2、#{}能够很大程度上防止sql注入;延伸:1、用传入数据直接显示在生成的sql,如上面的语句,用roleid=传入数据直接显示在生成的sql,如上面的语句,用roleid={roleId,jdbcType=INTEGER},那么sql在解析的时候...
sql ${} 和 #{}的区别
qq_34266804的博客
03-01 628
sql对于传入参数有两种写法,刚开始学的时候总是不知道是什么原因,故此写下此笔记作为解释: $将传入的数据直接显示生成在sql,那么我们使用 ${}的时候 select * from user where name = ${name}; ${}在动态解析的时候,会将我们传入的参数当做String字符串填充到我们的语句,就会变成下面的语句 select * from u...
Mybatis # 与$的区别
09-23
与传统的JDBC相比,Mybatis提供了更简洁、灵活的方式来执行SQL语句并映射数据到Java对象。 Mybatis的核心思想是将SQL语句与Java代码进行分离,通过使用XML或注解来描述SQL语句的编写和映射规则。这样可以使得SQL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值