2023.11.28 MyBatis 中 #{} 和 ${} 的区别

已于 2023-11-30 00:10:16 修改
阅读量978 收藏 19
点赞数 20
分类专栏: Spring 文章标签: mybatis
于 2023-11-29 15:20:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63888301/article/details/134629147
版权

目录

引言

主要区别

sql 注入问题 

使用 ${param} 的两大条件

sql 关键字

模糊查询(like) 

分析

concat 函数

阅读以下文章前建议先点击下方链接了解单元测试

单元测试详解

引言

  • 首先 #{} 和 ${} 均是 MyBatis 获取动态参数的两种实现
  • 为了让我们更加方便观察 这二者之间的区别
  • 我们可先在配置文件 application.properties 中加入相应配置项

# 配置打印 Mybatis 执行 SQL 的日志(debug 级)
mybatis.configuration.log-impl=org.apache.ibatis.logging.stdout.StdOutImpl
# 配置 日志打印级别 将默认 info 级 修改为 debug 级
logging.level.com.example.demo=debug
  • 下文中的 param 代表参数

主要区别

  • ${param} 是 直接替换
  • #{param} 是 预编译处理

预编译处理

  • 指 MyBatis 在处理 #{param} 时,将 #{param} 替换成了 ?号,代表占位符
  • 再使用 PreparedStatement 的 set 方法来赋值
  • 也就是说如果参数为 Integer 类型,则使用 setInt 方法
  • 如果参数为 Sting 类型,则使用 setString 方法
// ? 是一个占位符,只是占个位置,后面会被替换成其他的东西
String sql = "insert into staff values(?, ?)";
PreparedStatement statement = connection.prepareStatement(sql);
//1 2 数字表示占位符下标,默认从1开始,set方法是一个系列:setXXX(XXX表示类型)
statement.setInt(1, ID);
statement.setString(2, name);

实例理解一

  • 使用 ${param}
<select id="getUserByName" resultType="com.example.demo.entity.User">
        select * from user where name = ${user_name}
</select>
  • 利用单元测试 执行调用该 sql 语句
@SpringBootTest
class UserMapperTest {

//    正因为该测试单元运行在 Spring Boot 下
//    所以我们可以使用依赖注入 userMapper Bean 对象
    @Autowired
    private UserMapper userMapper;

    @Test
    void getUserByName() {
        User user = userMapper.getUserByName("xiaolin");
        System.out.println(user);
    }
}

执行结果:

  • 发生报错!!

  • 正确的 sql 语句应该为 name = 'xiaolin' 
  • 此处直接替换成了 name = xiaolin,缺少 单引号!!
  • 所以我们在使用 ${param} 获取字符串类型的动态参数时,应该主动加上 单引号
  • 例如 name = '${param}' 
  • 但是该种写法存在 sql 注入问题

实例理解二

  • 使用 #{param}
<select id="getUserByName" resultType="com.example.demo.entity.User">
        select * from user where name = #{user_name}
</select>
  • 利用单元测试 执行调用该 sql 语句
@SpringBootTest
class UserMapperTest {

//    正因为该测试单元运行在 Spring Boot 下
//    所以我们可以使用依赖注入 userMapper Bean 对象
    @Autowired
    private UserMapper userMapper;

    @Test
    void getUserByName() {
        User user = userMapper.getUserByName("xiaolin");
        System.out.println(user);
    }
}

执行结果:

  • 未发生报错!

注意:

  • 当传来的参数为 Integer 类型时使用 #{} 或 ${} 都行

sql 注入问题 

  • ${param} 存在 sql 注入问题
  • #{param} 不存在该问题

实例理解

  • 此处模拟实现一个验证登录功能

初始化数据库

  • 创建一个 message 数据库 和 user 表
  • 其中 user 表中数据为下图所示

初始化 UserMapper 接口

  • 此处我们在接口中添加一个 login 方法
import com.example.demo.entity.User;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Param;

//添加 @Mapper 注解 代表该接口会伴随这 项目的启动而注入到容器中
@Mapper
public interface UserMapper {

//    登录查询
    User login(@Param("user_name") String name,
               @Param("password") String password);
}

初始化 UserMapper XML 文件

  • 在与 接口相对应的 XML 文件中
  • 添加上与 login 方法 相对应的 sql 语句
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybati
s.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.example.demo.mapper.UserMapper">

    <select id="login" resultType="com.example.demo.entity.User">
        select * from user where name = '${user_name}' and password = '${password}'
    </select>

</mapper>

创建 login 的测试方法

  • 注意这里我们传入的 password = " ' or 1 = '1 "
  • 然而 name = xiaolin 用户的正确密码为 123456,此处传入的显然不是正确密码
@Test
    void login() {
        String username = "xiaolin";
        String password = "' or 1 = '1";
        User user = userMapper.login(username,password);
        System.out.println("登录状态:" + (user == null ? "失败" : "成功") + " user = " + user);
    }
}

执行测试方法

  • 测试方法执行成功

  • 上述演示出现的问题,属于典型的 sql 注入问题

分析 sql 语句

  • 即该 sql 语句会将 user 表中的所有用户信息全部查询出来

使用 ${param} 的两大条件

  • 保证 param 的值一定为可穷举值
  • 在使用之前一定要对传递的值进行合法性校验(可在 Controller 层 通过穷举的方式验证传递值的安全性)

sql 关键字

  • 当我们在 sql 语句中想实现插入 sql 关键字时
  • 此时必须使用 ${param} 来实现
  • 一般传入的关键字也时 字符串形式,如果还是采用 #{param} 这种预处理方式的话
  • #{param} 就会将关键字加上 单引号,从而不能达成我们想要实现的效果
  • 而 使用 ${param} 直接替换,正好符合我们的需求

实例理解

  • 此处实现一个根据关键字  进行排序查询用户信息 的功能

初始化 UserMapper 接口

  • 此处我们在接口中添加一个 getUserByKeyWord 方法
import com.example.demo.entity.User;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Param;

import java.util.List;

//添加 @Mapper 注解 代表该接口会伴随这 项目的启动而注入到容器中
@Mapper
public interface UserMapper {

//    根据关键字 查询用户信息
    List<User> getUserByKeyWord(@Param("key_word") String keyWord);
}

初始化 UserMapper XML 文件

  • 在与 接口相对应的 XML 文件中
  • 添加上与 getUserByKeyWord 方法 相对应的 sql 语句
  • 此处使用 ${key_word}
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybati
s.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.example.demo.mapper.UserMapper">

    <select id="getUserByKeyWord" resultType="com.example.demo.entity.User">
        select * from user order by id ${key_word}
    </select>

</mapper>

创建 getUserByKeyWord 的测试方法

  • 此处我们传入 desc 关键字进行降序查询
@Test
void getUserByKeyWord() {
    List<User> users = userMapper.getUserByKeyWord("desc");
    for (User user:users) {
        System.out.println(user);
    }
}

执行测试方法

  • 测试方法执行成功

模糊查询(like) 

实例理解

  • 此处实现一个 根据用户输入的字符串进行模糊查询用户信息 的功能

分析

  • 用户输入的字符串,不是一个可穷举值,是不可控的值
  • 所以我们直接排除使用 ${param}
  • 其次如果我们直接使用 #{param} 的话,也会存在一定问题

  • 实际生成的 sql 语句与我们期望生成的 sql 语句显然是不同的
  • 使用预处理时,因为用户传入的是 String 类型,进行赋值时会加上单引号

concat 函数

  • concat 函数为 mysql 中内置的函数,可实现字符串拼接功能

  • 由上图所示,我们可以利用 concat 函数来解决我们  #{param} 所遇到的问题

 初始化 UserMapper 接口

  • 此处我们在接口中添加一个 getListByName 方法
import com.example.demo.entity.User;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Param;

import java.util.List;

//添加 @Mapper 注解 代表该接口会伴随这 项目的启动而注入到容器中
@Mapper
public interface UserMapper {

//    根据用户名模糊查询
    List<User> getListByName(@Param("key_name") String keyName);
}

初始化 UserMapper XML 文件

  • 在与 接口相对应的 XML 文件中
  • 添加上与 getListByName 方法 相对应的 sql 语句
  • 此处使用 concat 函数 和 #{param}
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybati
s.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.example.demo.mapper.UserMapper">

    <select id="getListByName" resultType="com.example.demo.entity.User">
        select * from user where name like concat('%',#{key_name},'%')
    </select>

</mapper>

创建 getListByName 的测试方法

  • 此处我们传入字符串 "xiao" 进行模糊查询
@Test
void getListByName() {
    String keyName = "xiao";
    List<User> users = userMapper.getListByName(keyName);
    for (User user: users) {
        System.out.println(user);
    }
}

执行测试方法

  • 测试方法执行成功

茂大师
关注
  • 20
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
### Error querying database. Cause: java.lang.NullPointerException ### Cause: java.lang.NullPointer
tendecss
03-11 6576
01:12:39.634 [http-nio-8080-exec-1] DEBUG o.s.w.s.m.m.a.ExceptionHandlerExceptionResolver - Resolving exception from handler [public com.tendecss.common.R com.tendecss.controller.portal.ProductContro...
mybatis面试题#$区别.pdf
04-24
mybatis面试题#$区别.pdf
2023.11.25 关于 MyBatis 的配置与使用
weixin_63888301的博客
11-26 982
MyBatis 是一款优秀的持久层框架,它支持自定义SQL、存储过程以及高级映射MyBatis 免除了几乎所有的 JDBC 代码以及设置参数和获取结果集的工作简单来说 Mybatis 是更简单完成程序和数据库交互的工具,也就是更简单的操作和读取数据库工具。
2023.11.30 关于 MyBatis 动态 SQL 的使用
weixin_63888301的博客
12-01 953
引言 if标签 trim标签 where标签 set标签 foreach标签
2023.11.29 关于 MyBatis resultMap 和 多表查询
weixin_63888301的博客
11-30 911
resultType 和 resultMap
2023.11.27 关于 Mybatis 增删改操作
weixin_63888301的博客
11-28 1245
增加用户操作 删除用户操作 修改用户操作
ERROR 13680 --- [ restartedMain] c.b.m.core.MybatisConfiguration
stay_for_you的博客
02-02 2162
mapper[com.exam.springboot.mapper.ExamManageMapper.findAll] is ignored, because it exists, maybe from xml file 方法名重复 重载了 把方法名改一下就行了
【学习日记2023.5.3】之 MyBatis快速入门_JDBC介绍(了解)_数据库连接池_lombok类库_MyBatis基础操作
qq_42575689的博客
05-03 418
MyBatis快速入门、JDBC介绍(了解)、数据库连接池、lombok类库、MyBatis基础操作
GlobalExceptionHandler.java:22 (mybatis的xml文件没有被打包的一种解决方案)
心有谦谦结
04-16 1074
mybatis的xml文件没有被打包的一种解决方案。
tkmybatis报错java.lang.NoSuchMethodException: tk.mybatis.mapper.provider.base.BaseSelectProvider
红的羊
07-03 656
今天把mybatis改成tkmybatis,遇到了一个错误 2019-07-03 21:07:23.588 [http-nio-8001-exec-1] [AVGHMEQV] - c.y.r.e.ExceptionHandle - ERROR - requestURI: /ipWhiteList/selectIpWhiteListById, message: {} org.mybatis.spri...
09参数处理、#$区别.md
08-16
09参数处理、#$区别.md
mybatis-3-config/mapper.dtd 解决mybatis头文件报错
04-10
解决mybatis头文件报错 下载好压缩包 解压将文件放到本地文件夹 例如 D盘的哪个文件夹 D:\mybatis\ ;然后打开eclipse ->Window->prefenrence->XML->XML Catalog->User Specifiled Entreis->Add->Location(此处是你...
tk.mybatis扩展通用接口使用详解
08-25
主要介绍了tk.mybatis扩展通用接口使用详解,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
mybatis-config.xml
09-08
mybatis-config.xml mybatis-config.xml
计算机专业毕业设计范例845篇jsp2118基于Web停车场管理系统的设计与实现_Servlet_MySql演示录像.rar
05-24
博主给大家详细整理了计算机毕业设计最新项目,对项目有任何疑问(部署跟文档),都可以问博主哦~ 一、JavaWeb管理系统毕设项目【计算机毕设选题】计算机毕业设计选题,500个热门选题推荐,更多作品展示 计算机毕业设计|PHP毕业设计|JSP毕业程序设计|Android毕业设计|Python设计论文|微信小程序设计
Windows 10 平台 FFmpeg 开发环境搭建 博客资源
05-24
【FFmpeg】Windows 10 平台 FFmpeg 开发环境搭建 ④ ( FFmpeg 开发库内容说明 | 创建并配置 FFmpeg 项目 | 拷贝 DLL 动态库到 SysWOW64 目录 ) https://hanshuliang.blog.csdn.net/article/details/139172564 博客资源 一、FFmpeg 开发库 1、FFmpeg 开发库编译 2、FFmpeg 开发库内容说明 二、创建并配置 FFmpeg 项目 1、拷贝 dll 动态库到 C:\Windows\SysWOW64 目录 - 必须操作 特别关注 2、创建 Qt 项目 - C 语言程序 3、配置 FFmpeg 开发库 - C 语言项目 4、创建并配置 FFmpeg 开发库 - C++ 项目
基于 Spring Cloud 、Spring Boot、 OAuth2 的 RBAC 企业快速开发平台
最新发布
05-24
基于 Spring Cloud 、Spring Boot、 OAuth2 的 RBAC 企业快速开发平台, 同时支持微服务架构和单体架构。提供对 Spring Authorization Server 生产级实践,支持多种安全授权模式。提供对常见容器化方案支持 Kubernetes、Rancher2 、Kubesphere、EDAS、SAE 支持
我赚100万的商业模式.pdf
05-24
我赚100万的商业模式
{ "timestamp": "2023-07-14T11:17:15.188+0000", "status": 500, "error": "Internal Server Error", "message": "\r\n### Error querying database. Cause: java.sql.SQLException: sql injection violation, syntax error: syntax error, error in :&#39;RDER BY province_id LIMIT 1&#39;, expect BY, actual BY pos 98, line 3, column 56, token BY : SELECT *\n FROM batch_control_line\n WHERE province_id = ? AND `year`=? LIMIT ORDER BY province_id LIMIT 1\r\n### The error may exist in mybatis/mapper/BatchControlLineMapper.xml\r\n### The error may involve com.college.collegesystem.dao.BatchControlLineMapper.findBatchControlLineByID\r\n### The error occurred while executing a query\r\n### SQL: SELECT * FROM batch_control_line WHERE province_id = ? AND `year`=? LIMIT ORDER BY province_id LIMIT 1\r\n### Cause: java.sql.SQLException: sql injection violation, syntax error: syntax error, error in :&#39;RDER BY province_id LIMIT 1&#39;, expect BY, actual BY pos 98, line 3, column 56, token BY : SELECT *\n FROM batch_control_line\n WHERE province_id = ? AND `year`=? LIMIT ORDER BY province_id LIMIT 1\n; uncategorized SQLException; SQL state [null]; error code [0]; sql injection violation, syntax error: syntax error, error in :&#39;RDER BY province_id LIMIT 1&#39;, expect BY, actual BY pos 98, line 3, column 56, token BY : SELECT *\n FROM batch_control_line\n WHERE province_id = ? AND `year`=? LIMIT ORDER BY province_id LIMIT 1; nested exception is java.sql.SQLException: sql injection violation, syntax error: syntax error, error in :&#39;RDER BY province_id LIMIT 1&#39;, expect BY, actual BY pos 98, line 3, column 56, token BY : SELECT *\n FROM batch_control_line\n WHERE province_id = ? AND `year`=? LIMIT ORDER BY province_id LIMIT 1", "trace": "org.springframework.jdbc.UncategorizedSQLException: \r\n### Error querying database. Cause: java.sql.SQLException: sql injection violation, syntax error: syntax error, error in :&#39;RDER BY province_id LIMIT 1&#39;, expect BY, actual BY pos 98, lin
07-15
4. 检查数据库表结构和数据,确保查询的列名和表名与数据库的实际情况一致。 5. 如果你使用了类似于MyBatis的ORM框架,确保你已经正确地配置了对应的映射关系和数据库连接。 通过以上步骤,你应该能够解决这个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

茂大师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值