Mybatis的#{}与${}与和statementType的结合

最新推荐文章于 2022-07-30 11:21:28 发布
最新推荐文章于 2022-07-30 11:21:28 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: 学习记录 文章标签: 1024程序员节 mybatis java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48680790/article/details/120939204
版权

#{}:以预编译的形式进行查询,所有要传的参数均用?代替,

${}:以传输值的方式查询,有SQL注入的危险。

当指定statementType属性时:

1.#{}与PREPARED

  //#{}与PREPARED
  /*
<select  statementType="PREPARED" id="selectUserById" resultType="org.example.pojo.User">
    select * from t_user WHERE id = #{id}
</select>
*/
    @Test
    public void testSelectUserById() throws Exception{

        SqlSession session = getSqlSession();//自定义方法,返回一个SqlSession对象
        try {
            UserMapper mapper = session.getMapper(UserMapper.class);
            User user = mapper.selectUserById(9);
            System.out.println(user);
        }finally {
            session.close();
        }
    }

结果:正常

 2.#{}与STATEMENT

//#{}与STATEMENT
/*<select  statementType="STATEMENT" id="selectUserById" resultType="org.example.pojo.User">
    select * from t_user WHERE id = #{id}
</select>
*/
    @Test
    public void testSelectUserById() throws Exception{

        SqlSession session = getSqlSessionFactory();
        try {
            UserMapper mapper = session.getMapper(UserMapper.class);
            User user = mapper.selectUserById(9);
            System.out.println(user);
        }finally {
            session.close();
        }
    }

结果:提示SQL语法错误,检查第一行的?号。

Error querying database.  Cause: java.sql.SQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '?' at line 1
### The error may exist in t_user.xml
### The error may involve org.example.dao.UserMapper.selectUserById
### The error occurred while executing a query
### SQL: select * from t_user WHERE id = ?
### Cause: java.sql.SQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '?' at line 1

3.${}与PREPARED

//${}与PREPARED
/*<select  statementType="PREPARED" id="selectUserById" resultType="org.example.pojo.User">
    select * from t_user WHERE id = ${id}
</select>
*/
    @Test
    public void testSelectUserById() throws Exception{

        SqlSession session = getSqlSessionFactory();
        try {
            UserMapper mapper = session.getMapper(UserMapper.class);
            User user = mapper.selectUserById(9);
            System.out.println(user);
        }finally {
            session.close();
        }
    }

结果:正常

 4.${}与STATEMENT

  //${}与STATEMENT
/*<select  statementType="STATEMENT" id="selectUserById" resultType="org.example.pojo.User">
    select * from t_user WHERE id = ${id}
</select>
*/
    @Test
    public void testSelectUserById() throws Exception{

        SqlSession session = getSqlSessionFactory();
        try {
            UserMapper mapper = session.getMapper(UserMapper.class);
            User user = mapper.selectUserById(9);
            System.out.println(user);
        }finally {
            session.close();
        }
    }

结果:正常

 从3的结果我们得知,当用${}的方法传参并且指定statementType为PREPARED时,程序成功运行了。那么能不能用这种方式来解决${}的sql注入问题呢?

验证:

1.在UserMapper接口中准备根据姓名查询用户方法

List<User> selectUserByName(String username);

2.在对应的xml文件中准备该方法的select标签。(注意statementType的类型为PREPARED,sql参数为${})

<select id="selectUserByName" statementType="PREPARED" resultType="org.example.pojo.User">
        SELECT * FROM t_user WHERE username = ${parm1}
    </select>

3.准备

@Test
    public void testSelectUserByname() throws Exception{
        SqlSession session = getSqlSessionFactory();
        try {
            UserMapper mapper = session.getMapper(UserMapper.class);
            List<User> users = mapper.selectUserByName("'admin' " + "OR 1=1");
            for(User user:users){
                System.out.println(user);
            }
        }finally {
            session.close();
        }

    }

结果:编译通过

 得出结论:当使用${}并且指定statementType为PREPARED时,并不能解决sql注入问题。mybatis仍是直接将传递的参数拼接进sql中而不是用占位符代替。

YOSHINO_Cream
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis中的StatementType与动态解析时#{}和${}的不同
weixin_41062002的博客
06-28 389
背景,写一个需求,展示数据的结果需要将查询出来的结果列转行,但是发现需要列转行的数据是动态的,没办法确定有多少个,所以需要动态的拼接sql处理。 起初设想是在MyBatis里面去动态拼接,然后尝试多次放弃了。。。 要动态拼接的sql如下,下面是静态固定的几个列,实际需要查出来循环拼接的: 然后选择在java控制层去处理了: 【1】java中拼接,重点标注了底色: List<PageData> flNameList = xinchouService.getZiDuanByStatus(p
mybatis xml文件中statementType类型
Lugem2011的专栏
12-24 828
xml文件示例如下: <select id="selectMultiObject" parameterType="java.lang.String" resultType="java.util.HashMap" statementType="PREPARED"> ${parameter} </select> <select id="selectObject" parameterType="java.lang.String" resu.
Mybatis中的statementType使用
NRGAGA的专栏
04-20 1369
statementType:标记操作SQL的对象 取值说明: 1、STATEMENT:直接操作sql,不进行预编译,获取数据:${} ——有 SQL 注入的风险 #{xxx} 就不能用了 需要换成${xxx} sql 直接进行的字符串拼接,如果为字符串需要加上引号 2、PREPARED:预处理,参数,进行预编译,获取数据:#{ }——默认 是使用的参数替换,也就是索引占位...
mybatis映射器注解
fangwenzheng88的博客
11-07 764
映射器注解 因为最初设计时,MyBatis 是一个 XML 驱动的框架。配置信息是基于 XML 的,而且 映射语句也是定义在 XML 中的。而到了 MyBatis 3,有新的可用的选择了。MyBatis 3 构建 在基于全面而且强大的 Java 配置 API 之上。这个配置 API 是基于 XML 的 MyBatis 配置的 基础,也是新的基于注解配置的基础。注解提供了一种简单的方式来实现简单映
MyBatis中的statementType详解
qq_44421796的博客
10-17 2869
在mapper文件中可以使用statementType标记使用什么的对象操作SQL语句。 statementType:标记操作SQL的对象 取值说明: 1、STATEMENT:直接操作sql,不进行预编译,获取数据:$—Statement 2、PREPARED:预处理,参数,进行预编译,获取数据:#—–PreparedStatement:默认 3、CALLABLE:执行存储过程————CallableStatement 其中如果在文件中,取值不同,那么获取参数的方式也不相同 <update id="u
statementTypeSTATEMENT,PREPARED 或 CALLABLE
java牛牛的博客
02-04 8294
statementType说明 statementTypeSTATEMENT,PREPARED 或 CALLABLE(存储过程) 的一个。这会让 MyBatis 分别使用 Statement,PreparedStatement 或 CallableStatement,默认值:PREPARED。 <?xml version="1.0" encoding="UTF-8" ?> <!...
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
浅谈mybatis中的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis中的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Mybatis中#{}和${}参的区别及#和$的区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
详解Mybatis中的 ${} 和 #{}区别与用法
08-18
Mybatis中的 ${} 和 #{}区别与用法详解 Mybatis 是一个基于 Java 的持久层框架,它提供了一个简单的方式来进行数据库操作。在 Mybatis 中,使用 ${} 和 #{} 两种方式来递参数,但它们之间有着很大的区别。 ${} ...
Mybatis中Mapper映射文件详解
热门推荐
马靖的个人技术博客
05-15 8万+
紧接上文所述,在这篇文章中我将对Mapper映射文件进行详细的说明。 Mapper映射文件是一个xml格式文件,必须遵循相应的dtd文件规范,如ibatis-3-mapper.dtd。我们先大体上看看支持哪些配置?如下所示,从Eclipse里截了个屏: 从上图可以看出,映射文件是以作为根节点,在根节点中支持9个元素,分别为insert、update、delete、select(增删
mysql存储过程
weixin_43189971的博客
07-30 221
存储过程
Mybatis中的StatementType
Brook
10-17 1万+
原文:http://luoyu-ds.iteye.com/blog/1517607 要实现动态入表名、列名,需要做如下修改 添加属性statementType=”STATEMENT” 同时sql里的属有变量取值都改成${xxxx},而不是#{xxx}<delete id="deleteTableData" parameterType="java.util.Map" statementType
MybatisStatementType和调用存储过程
上善若泪
01-03 1万+
目录 1StatementType 2 调用存储过程 2.1 一般调用步骤 2.2 mybatis调用存储过程 2.2.1 准备表和数据库 2.2.2userMapper.xml 2.2.3 测试 1StatementType 在mapper文件中可以使用statementType标记使用什么的对象操作SQL语句。 statementType:标记操作SQL的对象 要实现动态入表名、列名,需要做如下修改 ,添加属性statementType=”STATEMENT” ,同.....
Mybatis中的statementType="STATEMENT"使用注意
AntdonYu的博客
11-17 1万+
今天遇到如下问题   Cause: com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right synta...
Mybatis里面的StatementType的解释说明
dxyzhbb的博客
08-03 723
在mapper文件中可以使用statementType标记使用什么的对象操作SQL语句。 statementType:标记操作SQL的对象 要实现动态入表名、列名,需要做如下修改 ,添加属性statementType=”STATEMENT” ,同时sql里的属有变量取值都改成${xxxx},而不是#{xxx} <delete id="deleteTableData" parameterType="java.util.Map" statementType="STATEMENT"> ..
MyBatis动态拼接sql,statementType="STATEMENT"使用
qq_36856975的博客
04-19 1万+
背景,写一个需求,展示数据的结果需要将查询出来的结果列转行,但是发现需要列转行的数据是动态的,没办法确定有多少个,所以需要动态的拼接sql处理。起初设想是在MyBatis里面去动态拼接,然后尝试多次放弃了。。。要动态拼接的sql如下,下面是静态固定的几个列,实际需要查出来循环拼接的:然后选择在java控制层去处理了:【1】java中拼接,重点标注了底色:List&lt;PageData&gt; f...
MyBatis #与$的区别
最新发布
03-31
MyBatis是一种Java持久化框架,它为开发人员提供了一种优雅的方式来访问关系数据库。它将Java对象映射到数据库表中的行,并提供了一种使用XML或注解来编写可重用SQL语句的方法。MyBatis还提供了许多高级功能,如延迟加载、缓存和高级查询。它是许多Java应用程序中最受欢迎的持久化框架之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值