【Mybatis中¥{}域#{}的区别】

最新推荐文章于 2024-08-02 16:18:07 发布
最新推荐文章于 2024-08-02 16:18:07 发布
阅读量1.1k 收藏 2
点赞数 1
文章标签: java 数据库开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_71307869/article/details/125372075
版权

#{}是预编译处理,${}是字符串替换。
详情:

(1)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值。

(2)mybatis在处理时 , 就 是 把 {}时,就是把时,就是把{}替换成变量的值。

(3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输入非法参数,也不会对SQL的结构产生影响,从而避免了潜在的安全风险。

(4)预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。我们知道,SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。

首先是使用#{}:

  1. <!-- 使用#{} -->

  2. <select id="selectUser" parameterType="String"

  3. resultType="com.mybatis.po.MyUser">

  4. select * from user where account = #{account} and password = #{password}

  5. </select>

分别测试正常传参和拼接传参:

  1. // 使用#{} 正常传参

  2. Map<String, Object> parameter = new HashMap<>();

  3. parameter.put("account", );

  4. parameter.put("password", password);

  5. MyUser mu = ss.selectOne("com.mybatis.mapper.UserMapper.selectUser", parameter);

  6. System.out.println("返回结果:" + mu);

  7. // 使用#{} 拼接传参

  8. Map<String, Object> parameter_1 = new HashMap<>();

  9. parameter_1.put("account", "201301001");

  10. parameter_1.put("password", "111111" + "or account = 'admin' ");

  11. MyUser mu_1 = ss.selectOne("com.mybatis.mapper.UserMapper.selectUser", parameter_1);

  12. System.out.println("返回结果:" + mu_1);

结果如下:

  1. DEBUG [http-nio-8080-exec-5] - ==> Preparing: select * from user where account = ? and password = ?

  2. DEBUG [http-nio-8080-exec-5] - ==> Parameters: 201301001(String), 111111(String)

  3. DEBUG [http-nio-8080-exec-5] - <== Total: 1

  4. 返回结果:MyUser [id=17, account=201301001, password=111111, name=蒙奇D路飞]

  5. DEBUG [http-nio-8080-exec-5] - ==> Preparing: select * from user where account = ? and password = ?

  6. DEBUG [http-nio-8080-exec-5] - ==> Parameters: 201301001(String), 111111 or account = 'admin' (String)

  7. DEBUG [http-nio-8080-exec-5] - <== Total: 0

  8. 返回结果:null

很明显,使用#{}的时候,即使传入了恶意参数,#{}只会将其作为一个占位符的参数,如上面这个例子:

 

  1.  
    DEBUG [http-nio-8080-exec-5] - ==> Preparing: select * from user where account = ? and password = ? 
     
  2.  
    DEBUG [http-nio-8080-exec-5] - ==> Parameters: 201301001(String), 111111 or account = 'admin' (String)
     
  3.  
    DEBUG [http-nio-8080-exec-5] - <== Total: 0
     
  4.  
    转换为实际的SQL语句:select * from user where account = '201301001' and password = '111111 or account = 'admin'' 
     
 

现在是使用${}
 

 

  1.  
    <!-- 使用${} -->
     
  2.  
    <select id="selectUser2" parameterType="String" 
     
  3.  
    resultType="com.mybatis.po.MyUser">
     
  4.  
    select * from user where account = ${account} and password = ${password}
     
  5.  
    </select>
     
 

分别测试正常传参和拼接传参:
 

 

  1.  
    // 使用${} 正常传参
     
  2.  
    Map<String, Object> parameter = new HashMap<>();
     
  3.  
    parameter.put("account", "201301001");
     
  4.  
    parameter.put("password", "111111");
     
  5.  
    MyUser mu = ss.selectOne("com.mybatis.mapper.UserMapper.selectUser2",parameter);
     
  6.  
    System.out.println("返回结果:" + mu);
     
  8.  
    // 使用${} 拼接传参
     
  9.  
    Map<String, Object> parameter2 = new HashMap<>();
     
  10.  
    parameter2.put("account", "201301001");
     
  11.  
    parameter2.put("password", "111111" + " or account = 'admin' ");
     
  12.  
    MyUser mu2 = ss.selectOne("com.mybatis.mapper.UserMapper.selectUser2", parameter2);
     
  13.  
    System.out.println("返回结果:" + mu2);
     
 

结果如下:
 

 

  1.  
    DEBUG [http-nio-8080-exec-18] - ==> Preparing: select * from user where account = 201301001 and password = 111111 
     
  2.  
    DEBUG [http-nio-8080-exec-18] - ==> Parameters: 
     
  3.  
    DEBUG [http-nio-8080-exec-18] - <== Total: 1
     
  4.  
    返回结果:MyUser [id=17, account=201301001, password=111111, name=蒙奇D路飞]
     
  5.  
    DEBUG [http-nio-8080-exec-18] - ==> Preparing: select * from user where account = 201301001 and password = 111111 or account = 'admin' 
     
  6.  
    DEBUG [http-nio-8080-exec-18] - ==> Parameters: 
     
  7.  
    DEBUG [http-nio-8080-exec-18] - <== Total: 2
     
  8.  
    返回结果:[MyUser [id=1, account=admin, password=111111, name=管理员], MyUser [id=17, account=201301001, password=11
     
 

很明显,使用${}将参数拼接后在编译成SQL语句,不能防止SQL注入.如果password的传参是
 

"11111 or 1=1" 那生成的sql语句是:select * from user where account = 201301001 and password = 111111 or 1=1 ;其作用就相当于 select * from user ,会查出表中所有信息,这是很危险的

                

        

        

    

  


    

      

        

            

              
                
                  天航435
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    1
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    2
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  1
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
Mybatis的#{}与${}

				
			

			

				

					Xin6Yang的博客
				

				

					05-11
					
					251
					
				

			

		

		

			
				
Mybatis的#{}与${}

MyBatis映射配置文件,动态传递参数两种方式:

#{}:占位符
${}:拼接符


区别

#{}为参数占位符?,即sql预编译;${}为字符串替换,即sql拼接。
#{}:动态解析->预编译->执行;${}:动态解析->编译->执行。
#{}的变量替换是在DBMS;${}的变量替换是在DBMS外。
变量替换后,#{}对应的变量自动加上单引号’’;变量替换后,${}对应的变量不会加上单引号’’。
#{}能防止sql注入;${}不能防止sq

			
		

	



                

              
                



	

		

			

				
					
mybatis的#和$的区别

					
热门推荐

				
			

			

				

					kobi521的专栏
				

				

					11-25
					
					11万+
					
				

			

		

		

			
				
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order
 by "id".
  
2. $将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是111,那么解析成sql时的

			
		

	



                


  
              

                


	

		

			

				
					
Mybatis#{}与{}的区别与联系

				
			

			

				

					qq_44788380的博客
				

				

					08-27
					
					476
					
				

			

		

		

			
				
Mybatis#{}与{}的区别与联系

			
		

	





	

		

			

				
					
Mybatis实战:#{} 和 ${}的使用区别数据库连接池

					
最新发布

				
			

			

				

					LHY537200的博客
				

				

					08-02
					
					1495
					
				

			

		

		

			
				
{} 和 ${}#{} 和 ${} 在MyBatis框架都是用于SQL语句参数替换的标记,但它们在使用方式和处理参数值上存在一些显著的区别。特点1.1Interger类型的参数1.先看Interger类型的参数2.观察日志3.查看日志的输出语句我们输⼊的参数并没有在后⾯拼接,id的值是使⽤?进⾏占位. 这种SQL 我们称之为"预编译SQL"。4.我们把#{}改成${}5.再次查看输出日志信息可以看到, 这次的参数是直接拼接在SQL语句了。

			
		

	



		

			
		



	

		

			

				
					
面试题:Mybatis#{}和${}的区别

				
			

			

				

					天上掉下两毛钱
				

				

					02-23
					
					1272
					
				

			

		

		

			
				
#{}和${}的区别是什么?



#{}是预编译处理,${}是字符串替换。

Mybatis在处理#{}时,会将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值;

Mybatis在处理${}时,就是把${}替换成变量的值。

使用#{}可以有效的防止SQL注入,提高系统安全性。
...

			
		

	





	

		

			

				
					
mybatis的#和$的区别?

				
			

			

				

					gol_phing的博客
				

				

					08-12
					
					813
					
				

			

		

		

			
				
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".
  
2. $将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为

			
		

	





	

		

			

				
					
mybatis_3.5.9官方文文档pdf

				
			

			

				

					04-07
				

			

		

		

			
				
MyBatis 的 XML 配置文件包含了对 MyBatis 系统的核心设置,包括获取数据库连接实例的数据源(DataSource)以及决定事务作用和控制方式的事务管理器(TransactionManager): ```  <!DOCTYPE configuration   ...

			
		

	





	

		

			

				
					
MyBatis3官方文文档

				
			

			

				

					12-26
				

			

		

		

			
				
MyBatis的XML配置文件包含了对MyBatis系统的核心设置,这些设置通常包括获取数据库连接实例的数据源(DataSource)配置和决定事务作用和控制方式的事务管理器(TransactionManager)配置。通过XML头部的声明,可以验证...

			
		

	





	

		

			

				
					
Java mybatis面试题及答案

				
			

			

				

					m0_60721514的博客
				

				

					08-08
					
					569
					
				

			

		

		

			
				
* ●Spring AOP什么是通知,包括哪些?**

			
		

	





	

		

			

				
					
mybatis文文档(黑白书籍版)

				
			

			

				

					01-25
				

			

		

		

			
				
MyBatis的配置文件包含了系统的核心设置,其包括了获取数据库连接实例的数据源(DataSource)以及决定事务作用和控制方式的事务管理器(TransactionManager)。这样的配置对于MyBatis的运行至关重要,它定义了...

			
		

	





	

		

			

				
					
MyBatis官方文文档 pdf

				
			

			

				

					02-20
				

			

		

		

			
				
MyBatis允许开发者将SQL语句直接嵌入到Java代码,并通过简单的XML或注解来配置和映射原始类型、接口以及POJO(Plain Old Java Objects,普通老式Java对象)到数据库的记录。使用MyBatis开发者无需编写大量的...

			
		

	





	

		

			

				
					
#{}和{}的区别

				
			

			

				

					weixin_55555593的博客
				

				

					06-08
					
					1766
					
				

			

		

		

			
				
mybatis#{}和{}的区别

			
		

	





	

		

			

				
					
mybatis  #{} 以及 ${}

				
			

			

				

					minzhang001的博客
				

				

					10-23
					
					1万+
					
				

			

		

		

			
				
动态 sql 是 mybatis 的主要特性之一,在 mapper 定义的参数传到 xml 之后,在查询之前 mybatis 
  会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。
在下面的语句,如果 username 的值为 zhangsan,则两种方式无任何区别:select * from user where name = #{name

			
		

	





	

		

			

				
					
MyBatisMyBatis#{}与{}的区别

				
			

			

				

					AloneYueCSDN
				

				

					11-08
					
					3000
					
				

			

		

		

			
				
文章目录mybatis#{}与{}的区别
mybatis#{}与{}的区别

#{} 是预编译处理,像传进来的数据会加个" "(#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号)与JDBC一样创建prearedStatement参数占位符并安全设置参数(就像使用 ? 一样),安全迅速,转义字符,不会有SQL注入问题


1.${} 就是字符串替换。直接替换掉占位符。$方式一般用于传入数据库对象或固定变量,例如传入表名,例如字段名
2.使用 ${} 的话会导致 sql 注入。什么是 SQ

			
		

	





	

		

			

				
					
#{}和{}的区别

				
			

			

				

					weixin_44451005的博客
				

				

					10-14
					
					3703
					
				

			

		

		

			
				
实例:
#{}的情况:
select name form student where age=#{studentAge};

参数studentAge=18
编译后
select name form student where age=?;

${}的情况:
select name form student where age=${studentAge};

参数studentAge=18
编译后
select name form student where age=18;

说明:
由上面的实例可见
1.

			
		

	





	

		

			

				
					
mybatis#{}和{}理解

				
			

			

				

					hzl1998812的博客
				

				

					02-19
					
					1843
					
				

			

		

		

			
				
在做项目,写mybatis的mapper.xml时我们会用到#{},${}。

区别:

#{}叫预编译处理,mybatis在处理#{}时,会将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值;传进来的数据会加个" "(#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号),有效防止sql注入。${}就是字符串替换,字符串拼接参数。直接替换掉占位符。$方式一般用于传入数据库对象,例如传入表名.

关于sql注入:

什么是 SQL 注入呢?比如 select *

			
		

	





	

		

			

				
					
Mybatis #{}和${}

				
			

			

				

					qq_52764609的博客
				

				

					06-07
					
					226
					
				

			

		

		

			
				
2. Mybatis 在处理#{}时,会将 sql 的#{}替换为?号,调用 PreparedStatement 来赋值。3. Mybatis 在处理${}时,就是把${}替换成变量的值,调用 Statement 来赋值。1.#{}是预编译处理、是占位符,${}是字符串替换、是拼接符。4.使用#{}可以有效的防止 SQL 注入,提高系统安全性。

			
		

	





	

		

			

				
					
mybatis的两种传参方式#{}和{}原理

				
			

			

				

					laughitover
				

				

					08-28
					
					5477
					
				

			

		

		

			
				
之前没注意,最近公司测试提了个bug,
问题:输入框输入单引号会报错,
原因:单引号截断了sql
总结:#{}速度快,能防止sql注入,是占位符方式,先预编译,然后填充参数,字符串格式,相当于填空题 用户名=(___),参数只是下划线上的内容
          ${}是直接拼接到语句上,执行语句,对于上面那道填空题 ,这种方式需要自己拼括号和参数,但是也可以拼接想执行的任何语句,也就是

			
		

	





	

		

			

				
					
#{}和${}的区别

				
			

			

				

					灵思哑舍
				

				

					10-09
					
					230
					
				

			

		

		

			
				
(1)n#{}表示一个占位符号,通过#{}可以实现preparedStatement向占位符设置值,自动进行java类型和jdbc类型转换,#{}可以有效防止sql注入。#{}可以接收简单类型值或pojo属性值。如果parameterType传输单个简单类型值,#{}括号可以是value或其它名称。

(2)n${}表示拼接sql串,通过${}可以将par...

			
		

	





	

		

			

				
					
MyBatis3用户指南:文翻译版

				
			

			

				

					
				

			

		

		

			
				
MyBatis,SQL语句的映射通常在Mapper XML文件定义,其可以包含静态和动态SQL。命名空间用于区分不同的Mapper,确保SQL语句的唯一性。  文档还详细讲解了MapperXML配置的各个元素,如`properties`用于引入...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值