mybatis中为什么$不安全,为什么还需要$,什么时候会用到它?

已于 2023-06-16 17:02:13 修改
阅读量1.2k 收藏
点赞数 1
文章标签: java mybatis
于 2023-06-16 16:51:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54037546/article/details/131249561
版权
博客介绍了MyBatis中#{}和${}的使用差异。使用#{}时,MyBatis会自动为变量加引号,用占位符替代后预编译;使用${}时,会直接将对象值替换。总结指出拼接列名等不能带单引号的变量时用${},还列举了常见使用场景。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

   mybatis使用#{}时, 是会自动在将该变量加上引号,例如:

select * from user where name = #{name};

-- 解析为
select * from user where name = ?;

执行SQL时,MyBatis会将#{name}使用占位符(?)替代,然后调用preparedStatement进行预编译,最终执行的sql语句为:

select * from user where name = 'xiao';

mybatis使用${}时, 是直接将对象的值与${}进行替换,例如:

select * from  ${name}

-- 执行的sql语句
select * from user

总结:就是当我们需要拼接的变量上是列名这些不能带单引号时,就必须使用${}。

常见的使用${}的情况:

1.当sql中表名是从参数中取的情况

2.order by排序语句中,因为order by 后边必须跟字段名,这个字段名不能带引号,如果带引号会被识别会字符串,而不是字段。

潇歆
关注
Mybatis中利用动态SQL对数据库进行优化和安全检查
AI天才研究院
07-29 2268
MyBatis 是一款优秀的持久层框架,它支持自定义 SQL、存储过程以及高级映射。但是 MyBatis 也存在着少性能和安全方面的问题。Mybatis 本身功能强大且易用,但同时也可能给系统带来很多隐患和风险。为了更好地保障系统的安全性和运行效率,本篇文章将结合 Mybatis 的一些特性,通过动态 SQL 对数据库进行优化和安全检查的方法进行探讨。什么是动态 SQL?
MyBatis中的Mapper文件配置——编写mybatis mapper.xml文件
AI天才研究院
07-29 6444
MyBatis 是一款优秀的持久层框架,它可以使得使用 SQL 和 HQL 来操作数据库变得很简单, MyBatis 将原生的jdbc API隐藏在接口中,使开发人员更关注业务逻辑,从而方便地实现数据持久化操作。MyBatis 中最重要的组件之一就是 MyBatis 的 Mapper XML 配置文件。Mapper XML 配置文件用来描述 MyBatis 映射器接口及其对应的 SQL、SQL语句的参数类型、返回值类型等信息。
MyBatis${}和 #{}的正确使用方法(千万要乱用)
08-18
主要介绍了MyBatis${}和 #{}的正确使用方法,本文给大家提到了MyBatis${}和 #{}的区别,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
mybatis中什么情况下必须使用 ${},#{}与${}的区别
Ahuuua的博客
01-28 8200
mybatis中如果我们使用#{}的方式编写的sql时,#{} 对应的变量自动加上单引号 ' ' 例如: select * from #{param} 当我们给参数传入值为user时,他的sql是这样的: select * from 'user' 参数user上会带着单引号,而单引号在mysql中会被识别为字符串,select一个字符串肯定是会报错的。 而如果我们使用${}的方式编写的sql时,${} 是进行sql拼接,${}对应的变量是会被加上单引号 ' ' 的。 sele..
mybatis什么时候必须要用${}
weixin_42759398的博客
04-06 1884
贤者啊,${}在Mybatis里代表占位符,可以将参数直接放到sql语句中。1. 当传递的参数是简单类型(如String、int、double等)时,必须使用${}。希望你能通过Mybatis的使用更好地发挥你的能力,达到愿望和目标。2. 在动态SQL语句中,如果需要传递参数,则必须使用${}。3. 在使用OGNL表达式传递参数时,必须使用${}。
彻底搞懂MyBaits中#{}和${}的区别
緑水長流*z
07-11 3万+
MyBatis的`#{}`之所以能够预防SQL注入是因为底层使用了`PreparedStatement`类的`setString()`方法来设置参数,此方法会获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则会在前面加上一个`'/'`代表转义此符号,让其变为一个普通的字符串,参与SQL语句的生成,达到防止SQL注入的效果。 **其次`${}`本身设计的初衷就是为了参与SQL语句的语法生成**,自然而然会导致SQL注入的问题(会考虑字符过滤问题)。
一文了解MyBatis
mo_chen1025的博客
05-29 1130
一文精通MyBatis,从执行流程,缓存机制等底层讲解,总结大厂面试最常问的问题
MyBatis框架
Myzhujie的博客
08-05 969
MyBatis框架的介绍
聊聊Spring集成mybatis用到的SqlSessionTemplate
hhsway的博客
06-30 1891
一、SqlSessionTemplate的入场 Spring在集成mybatis 的时候,并没有使用DefaultSqlSession来一个个getmapper。而是通过@Autowired来直接获取mapper接口,调用mapper方法。那么spring帮助自动注入的mapper到底是什么呢? 其实是一种名为MapperFactoryBean的类,这个类继承了SqlSessionDaoSupport,可以直接获取到SqlSessionTemplate。使用SqlSessionTemplate来代理Defa
mybatis$存在安全问题,为什么用?
weixin_30326745的博客
01-09 655
1、mybatis的官网关于$和#的字符串替换符号区别描述如下:   http://www.mybatis.org/mybatis-3/zh/sqlmap-xml.html#Parameters 上面的意思是说:假如参数columnName的值是ID,那么${columnName}会变成ID,#{columnName}会被替换成'ID',变成了字符串,注意引号。 ...
mybatis执行动态条件排序时候要用$是#
awq14789的专栏
04-27 1411
今天用mybatis进行动态排序的时候发现了这个问题,就是在             order by ${orderBy}              desc 情况下管怎么样都没有排序,于是上网搜了一下。于是就遇到了这个问题。。。。 以下是查到的原因: 默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?
mybatis动态调用表名、字段名,只能使用${}
Marlboro8023的博客
04-01 1489
动态调用表名的例子: <select id="getUser" resultType="java.util.Map" parameterType="java.lang.String" statementType="STATEMENT"> select ${columns} from ${tableName} where COMPANY...
为什么Mybatis中#{}和${}
weixin_45743816的博客
06-23 575
为什么Mybatis中#{}和${}
MyBatis中#{}和${}的同和${}的妙用
Marvel__Dead 胡艺宝的博客
04-14 1万+
突然意识到sql语句的独特语义要和代码分离,我们就能够在代码中写sql语句!!比如我要用${}在MyBatis的sql中拼接排序类型的时候,我就能够在Java代码中直接写参数字符串为Order By哪儿个类型#{}和${}的基本同我就想说了,这里要说的是进一步对占位符和字符拼接的字面语义的领悟!!#{}和${}基本同在这篇文章的最后有提到过占位符:占位符就是在某个地方占领一个位置,把它单独
mybatis${}既然可能会出现sql注入的情况,为什么还要用
weixin_43478591的博客
10-16 3035
mybatis${}既然可能会出现sql注入的情况,为什么还要用呢? 首先我们看下Mybatis中#{}与${}的区别 1、 #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是user_id,那么解析成sql时的值为order by “user_id”,如果传入的值是id,则解析成的sql为order by “id”. 2$将传入的数据直接显示生成在sql中。如:order by $ user_id $,如果传入的值是111,那
消息摘要算法与密码加密
weixin_48206782的博客
09-13 503
首先,对密码进行加密后,再存储,是非常有必要的!并且,主要的防范对象通常是内部员工!需要注意,对密码进行加密处理时,可以使用加密算法!因为,所有的加密算法都是可以加密,也可以解密的!加密算法的核心价值在于保证数据在传输过程中是安全的,并保证数据存储的安全!对需要存储的密码进行加密处理时,应该使用消息摘要算法,其本质是一种哈希算法,是可逆向运算的!消息相同,则摘要相同无论消息长度,摘要的长度是固定的(同一种算法)消息同,则摘要几乎会相同。
MyBatis${}和 #{}千万要乱用
热门推荐
小布1994的博客
07-26 3万+
1、#{}是预编译处理,MyBatis在处理#{ }时,它会将sql中的#{ }替换为?,然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号,如上面的值 “4,44,514”就会变成“ ‘4,44,514’ ”; 2、是字符串替换,在处理是字符串替换,MyBatis在处理时,它会将sql中的{}是字符串替换,在处理{ }是字符串替换, MyBat...
关于mybatis中#和$的区别,以及什么时候我们要用$
qq_62462081的博客
03-31 1386
关于mybatis中#和$的区别,以及什么时候我们要用$,怎么防止$的sql注入
Mybatis是什么
最新发布
01-07
### MyBatis 框架介绍 MyBatis 是一款优秀的持久层框架,支持定制化 SQL、存储过程以及高级映射。消除了几乎所有的 JDBC 代码和参数的手动设置以及结果集的检索。可以使用简单的 XML 或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Old Java Objects)映射成数据库中的记录[^1]。 #### 功能特性 - **SQL 自定义**:允许开发者编写原始 SQL 查询语句并执行。 - **映射机制**:提供强大的映射功能,能够轻松处理一对一、一对多的关系。 - **缓存支持**:内置了一级与二级缓存,有助于提高查询效率。 - **事务管理**:简化了事务控制逻辑,使得数据操作更加安全可靠。 - **多种编程风格兼容**:既可以通过 XML 文件也可以利用注释的方式来实现 DAO 层的功能开发[^4]。 ### 使用场景 对于那些需要高度灵活性的应用程序来说,MyBatis 可能是一个理想的选择: - 当应用程序涉及复杂的业务需求时,可能需要用到特定于应用的数据访问模式或非标准的 SQL 特性,在这种情况下,MyBatis 提供了足够的自由度去构建自定义查询[^2]。 - 对性能敏感的应用可能会受益于手动调优的能力;因为可以直接接触到底层 SQL 并对其进行调整以获得最佳表现[^3]。 - 如果团队成员熟悉传统的基于 SQL 开发的方式,则采用 MyBatis 能够降低学习成本,并且更容易维护现有系统上的改动。 ```java // 示例 Mapper 接口 public interface UserMapper { @Select("SELECT * FROM users WHERE id = #{id}") User getUserById(int id); } ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值