Mybatis 中 $ 和 #千万不要乱用

已于 2022-03-13 23:12:20 修改
阅读量1k 收藏 1
点赞数
分类专栏: 数据库系列 文章标签: 数据库 sql java
于 2022-03-13 23:11:26 首次发布
原文链接:https://m.toutiaocdn.com/i6685496024770806280
版权

开头

这是一次代码优化过程中发现的问题,在功能优化后发现部分数据查不到出来了,问题就在于一条 sql 上的 #和 $。

下图为两条 sql:

从图上可以看出 wwlr.LabelId in(${showLabels}) 和 wwlr.LabelId in(#{showLabels}),其中 showLabels 是传进来一个字符串类型的参数,参数的样子是这样的 “4,44,514”,问题就出在这个参数传进来后 #和 $ 处理的方式是不一样的。

区别

1、#{} 是预编译处理,MyBatis 在处理 #{} 时,它会将 sql 中的 #{ } 替换为?,然后调用 PreparedStatement 的 set 方法来赋值,传入字符串后,会在值两边加上单引号,如上面的值 “4,44,514” 就会变成 “ ‘4,44,514’ ”;

2、${} 是字符串替换, MyBatis 在处理 ${} 时, 它会将 sql 中的 ${ } 替换为变量的值,传入的数据不会加两边加上单引号。

注意:使用 ${ } 会导致 sql 注入,不利于系统的安全性!

SQL 注入:就是通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令。常见的有匿名登录(在登录框输入恶意的字符串)、借助异常获取数据库信息等

应用场合:

1、#{}:主要用户获取 DAO 中的参数数据, 在映射文件的 SQL 语句中出现 #{} 表达式, 底层会创建预编译的 SQL;

2、${}: 主要用于获取配置文件数据, DAO 接口中的参数信息, 当 $ 出现在映射文件的 SQL 语句中时创建的不是预编译的 SQL, 而是字符串的拼接, 有可能会导致 SQL 注入问题. 所以一般使用 $ 接收 dao 参数时, 这些参数一般是字段名, 表名等, 例如 order by {column}。

注:

${} 获取 DAO 参数数据时, 参数必须使用 @param 注解进行修饰或者使用下标或者参数 #{param1} 形式;

#{} 获取 DAO 参数数据时, 假如参数个数多于一个可有选择的使用 @param。

问题分析

其实刚开始我也没太去看 sql 里的 #和 $,我把 sql 放到数据库跑一切正常,所以我就将代码的执行 sql 输出到控制台了,具体是这么一个输出 sql 的配置文件:

输出后,终于发现了问题在哪里。。。。

看了上面的区别介绍,相信大家其实都应该知道区别在哪里,我们的问题在哪里,其实就是 sql 在 in 的时候 ,里面的数据被加了两个双引号。“wwlr.LabelId in(4,44,514)就会变成 wwlr.LabelId in(‘4,44,514’ );所以导致部分数据查不到了。

解决办法

1、快速解决

最快的方法就是把 #直接替换成 $,这样问题应该就可以解决了。

但是,我很无语,我确没有解决。

本地跑代码一点问题都没有,部署到公司的 docker 上问题一样没解决,给人的感觉就是代码根本没有从 #变 $。

大家都知道 $ 其实是有危险性,会容易被 sql 注入,具我所知道,我们公司的 docker 是会加一层防止 sql 注入的功能 ,所以不知道是不是这个功能把的 $ 无效掉了。

当然,我也没有去再到服务上打出 sql 来看一下,因为本来 $ 就是不太安全的,所以我换了一种方式处理。

2、foreach 标签的使用

foreach 标签主要用于构建 in 条件,他可以在 sql 中对集合进行迭代。

先来看看语法:

通过上图,大家也应该也了解和使用这个标签了吧。

那对于我们项目中的改造,其实就是把原来传进来的字符型参数变成 List,这样问题就完美的解决了,既实现了我们的功能 ,又解决了安全性问题。

原文链接:

https://m.toutiaocdn.com/i6685496024770806280

熊崽_张
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MyBatis使用$#所遇到的问题及解决办法
09-01
主要介绍了MyBatis使用$#所遇到的问题及解决办法的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
Mybatis Xml 传入动态字段 排序
飞奔的屎壳郎
06-28 4866
太原 2019.6-28 主要思路是 使用${} , #{}传过来的参数带单引号'',而${}传过来的参数不带单引号。 下面是MybatisXml格式的写法 #{} ${} 可以混用, 好像不太建议 ,不过就是这么一回事 <select id="findBookMemberPagerConditionList" resultMap="BaseResultMap" ...
Mybatis使用总结 混用
qq_38329456的博客
06-05 169
Mybatis使用总结 混用 1.Mybatis注解版 1.已经具备 bean: Department Employee 数据表 数据库连接成功 2.步骤: 2.1 编写操作每一个表对应的 mapper 接口 (最好写一个mapper包) 例如: public interface DepartmentMapper { } 2.2 接口所需要的注解为:@Mapper 指定这是一个操作数据库的Mapper 2.3 定义方法 操作数据库表
mybatismybatisplus的使用,sql语句#,$符号的区别
qq_45541846的博客
01-13 1162
mybatismybatisplus的使用,sql语句#,$符号的区别
MyBatis#{}与${}的使用
Future_LL的博客
06-25 466
MyBatis #{} 和 ${} 的主要区别 # 传入的参数在 SQL 显示为字符串,# 方式能够很大程度防止 SQL 注入 $ 传入的参数在 SQL 直接显示为传入的值,$ 方式无法防止 SQL 注入 其他区别 传入的参数在 SQL 显示不同 # 传入的参数在 SQL 显示为字符串(当成一个字符串),会对自动传入的数据加一个双引号。 $ 传入的参数在 SQL 直接显示为传入的值 ...
mybatisplus # $区别
yubin1285570923的博客
05-31 436
是先取值后预编译(字符串拼接后,进行编译)对应的变量自动加上单引号 ’ ',变为字符串。对应的变量是不会被加上单引号 ’ ’ 的。的方式编写的sql时,
mybatis plus的传参#{}与${}
weixin_43930851的博客
04-25 1873
java实践
关于 ${ }和 #{ }和{ }使用的注意事项
weixin_40571937的博客
08-04 204
1. ${ }和 #{ } 这两个的区别使用:如果是在sql语句的拼接阶段,使用#{}可以避免sql注入问题。如果在jsp,xml文件的其他配置(例如DataSource通过properties文件导入)时,就用$ {}。也就是说平常都用${}。 2. {}的使用 在restful风格的代码,会使用{}来实现占位的功能。 //删除书籍,使用restful风格 @RequestMapping("/deleteBook/{rid}") public String deleteBook
MyBatis ${}和 #{}的正确使用方法(千万不要用)
08-18
主要介绍了MyBatis ${}和 #{}的正确使用方法,本文给大家提到了MyBatis ${}和 #{}的区别,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
浅谈mybatis#$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis#$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Java Mybatis${ } 和 #{ }的区别使用详解
08-18
主要介绍了Mybatis${ } 和 #{ }的区别使用详解,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Mybatis#{}和${}传参的区别及#$的区别小结
09-02
主要介绍了Mybatis#{}和${}传参的区别及#$的区别小结 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
【8016】解决mybatis${}或#{}报错:ReflectionException: There is no getter for property named XX class
Caojian_0的博客
09-30 2423
【8016】解决mybatis${}或#{}报错:ReflectionException: There is no getter for property named XX class
Mybatis#占位符和$占位符的使用方法、区别、适合的使用区域
weixin_45063658的博客
12-20 1110
Mybatis#占位符和$占位符的使用方法、区别、适合的使用区域
MyBatis#{}和${}
weixin_46155048的博客
10-28 3792
MyBatis有两种动态传递参数的方式#{},${} #{}:占位符 KaTeX parse error: Expected 'EOF', got '#' at position 9: {}:拼接符 #̲{}是预编译,{}是字符串拼接 变量替换后#{}会自动加上单引号,${}不会加上单引号 #{}能防止sql注入 ${}不能防止sql注入 #{} 和 KaTeX parse error: Expected 'EOF', got '#' at position 20: …实例:假设传入参数为 1
Mybatis#{}和${}取值符号
哈哈
10-07 2306
如图,两个方法的参数类型为简单类型,简单类型包括8大基本类型和String1. #{}取值符号会自动为String类型的参数加上‘’单引号2. ${}取值符号不会自动加上‘’单引号当sql标签的查询代码是 select * from t_user where username = ‘lyx’;这种情况,需要使用自动加上单引号的#{}:select * from t_user where username = #{username}调用。
1.mybatis源码(1)-一条sql语句占位符既有#{}也有${} 会不会存在注入的问题
qq_34928026的博客
11-22 354
本文测试的表数据(这只是该表部分数据) [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JLy4Z5mc-1606032514826)(https://i.loli.net/2020/11/22/R8dQL9DksEmT5Yu.png)] StudentMapper.java @Mapper public interface StudentMapper { List<Student> getByName(@Param("stu") Student stud
Mybatis使用${}和使用#{}
m0_67402564的博客
03-22 939
Mybatis${}和#{}的区别 1、使用#{} 2、使用${} 3、总结 印象一直认为使用Mybatis肯定能防止sql注入,前两天才发现我太天真了。防止sql注入也是有条件的,这我们就要了解下Mybatis${}和#{}的使用了。 1、使用#{} Mybatis在对#{}进行预处理时,会把#{}处理成占位符,实际执行的时候才会把参数替换进去,相当于jdbc的PreparedStatement。 <select id="select" parameterType="jav
为什么Redis6.0引入了多线程
最新发布
IT深耕十余载,大道之简
05-11 531
总的来说,Redis 6.0引入多线程是为了提高性能、降低延迟、更好地利用CPU资源,并保持Redis的简单性和高性能特点。这些改进有助于Redis更好地应对不断增长的数据量和并发量需求,同时保持其稳定性和可靠性。Redis 6.0引入多线程的决策是基于其性能优化和适应现代硬件架构的考虑。
Mybatis${}和#{}使用场合
08-20
MyBatis${}和#{}是用来替换SQL语句的参数的。它们的使用场合略有不同。 ${}是字符串替换,当MyBatis处理${}时,它会将SQL${}替换为变量的值,传入的数据不会加两边加上单引号。这种情况适用于需要动态拼接SQL语句的场景,比如动态指定表名或列名。 #{}是预编译处理,当MyBatis处理#{}时,它会将SQL#{}替换为?,然后调用PreparedStatement的set方法来赋值。传入的字符串会在值两边加上单引号,以确保安全性和正确性。这种情况适用于需要传入参数并进行预编译的场景,比如查询条件的参数。 总结起来,${}适用于动态拼接SQL语句的场景,而#{}适用于传入参数并进行预编译的场景。在使用时,我们需要根据具体的需求选择合适的方式来处理参数。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Mybatis $#千万不要用](https://blog.csdn.net/wyouwd1/article/details/126130428)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [Mybatis系列:Mybatis $# 千万不要用!](https://blog.csdn.net/Mrs_chens/article/details/90403648)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值