mybatis中#和$的区别

最新推荐文章于 2024-03-31 17:33:14 发布
最新推荐文章于 2024-03-31 17:33:14 发布
阅读量144 收藏
点赞数
分类专栏: 框架架构学习 文章标签: Mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wyplj2015/article/details/88031220
版权

#{}:占位符号,好处防止sql注入(语句的拼接)

${}:sql拼接符号

1、动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。#{} 的参数替换是发生在 DBMS 中,而 ${} 则发生在动态解析过程中。如下例子:

#{} 在预处理时,会把参数部分用一个占位符 ? 代替,变成如下的 sql 语句:

select * from user where name = ?;

而 ${} 则只是简单的字符串替换,在动态解析阶段,该 sql 语句会被解析成

select * from user where name = 'zhangsan';

2、优先使用 #{}。因为 ${} 会导致 sql 注入的问题。看下面的例子:

select * from ${tableName} where name = #{name}

在这个例子中,如果表名为

  user; delete user; -- 

则动态解析之后 sql 如下:

select * from user; delete user; -- where name = ?;

--之后的语句被注释掉,而原本查询用户的语句变成了查询所有用户信息+删除用户表的语句,会对数据库造成重大损伤,极大可能导致服务器宕机。

3、表名用参数传递进来的时候,只能使用 ${}。(order by 中也要用 $)

表名是字符串,使用 sql 占位符替换字符串时会带上单引号 '',这会导致 sql 语法错误,例如:

select * from ${tableName} where name = #{name};

预编译之后变为:

select * from ? where name = ?;

假设我们传入的参数为 tableName = "user" , name = "Jack",那么在占位符进行变量替换后,sql 语句变为: 预编译之后的sql 变为:

select * from 'user' where name = 'Jack';

上述 sql 语句是存在语法错误的,表名不能加单引号 ''(注意,反引号 ``是可以的)。

参考:https://www.cnblogs.com/kangyun/p/5881531.html

https://www.cnblogs.com/sosolili/p/6623877.html

wyplj_sir
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入、Mybatis的#{参数}和${参数}
qq_45859087的博客
08-08 863
sql注入、Mybatis的#{参数}和${参数}sql注入概述:mybatis的#{参数} 和 ${参数}sql注入解决方案#{参数}和${参数}总结 sql注入概述: 针对SQL注入的攻击行为可描述为:在与用户交互的程序(如web网页),非法用户通过可控参数注入SQL语法,将恶意sql语句输入拼接到原本设计好的SQL语句,破坏原有SQL语法结构,执行了与原定计划不同的行为,达到程序编写时意料之外结果的攻击行为,其本质就是使用了字符串拼接方式构造sql语句,并且对于用户输入检查不充分,导致SQL
Mybatis动态sql##和$$的区别讲解
08-26
Mybatis动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
MyBatis#{}和${}的作用与区别
陈三千的博客
03-07 6256
mybatis#和$的主要区别是:#传入的参数在SQL显示为字符串,#方式能够很大程度防止sql注入;$传入的参数在SqL直接显示为传入的值,$方式无法防止Sql注入。 1、传入的参数在SQL显示不同 #{} 将传入的参数(数据)都当成是一个字符串,在SQL显示为字符串,会对自动传入的数据加一个双引号。 「对自动传入的数据加一个双引号」 例:使用以下SQL语句 select id,name from student where id =#{id}; //当我们传递的参数id为 "1" 时,上
mybatis易错易忘点
FAIRYTAIL的博客
10-27 790
mybatis大于、小于、不等于 mybatis可以直接使用>和<,但是不能直接使用>=和<=,通常在mybatis的运算符这样写: &lt;(小于)、&gt;(大于)、&lt;=(小于等于)、&lt;=(大于等于)、&lt;&gt;(不等于<>) 或者使用<![CDATA[ ]]>包裹 <![CDATA[ >= ]]>(大于等于)、<![CDATA[ != ]]>/<
mybatis"#"和"$"的区别
weixin_33972649的博客
09-18 1182
  动态 sql 是 mybatis 的主要特性之一,在 mapper 定义的参数传到 xml 之后,在查询之前 mybatis 会对其进行动态解析mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。   在下面的语句,如果 username 的值为 zhangsan,则两种方式无任何区别:    select * from user where na...
Mybatis#和$的区别
热门推荐
伏颜的博客
07-11 1万+
Mybatis#和$的区别
Mybatis #和$的区别是什么?
牛肉胡辣汤
08-22 270
​时,MyBatis会将参数值以安全的方式替换到SQL语句,使用的是PreparedStatement的预编译机制。​时,参数值会直接替换到SQL语句,需要注意防止SQL注入攻击的风险。需要注意的是,使用​。​是安全的占位符,适合用于大部分情况下,并且推荐在编写MyBatis SQL语句时使用​。​是字符串替换的占位符,适合用于一些特殊的需求,但需要注意防止SQL注入攻击。​是字符串替换的占位符,它直接将参数的字符串值替换到SQL语句。​进行占位符的标识,而是直接使用了​。​下面是一个使用​​。
mybatis#和$有什么不同
m0_73878473的博客
01-04 791
#和$两者含义不同 #会把传入的数据都当成一个字符串来处理,会在传入的数据上面加一个双引号来处理。 而$则是把传入的数据直接显示在sql语句,不会添加双引号。 两者的实现方式不同 1、$作用相等于是字符串拼接 2、#作用相当于变量值替换 #和$使用场景不同 1、在sql语句,如果要接收传递过来的变量的值的话,必须使用#。因为使用#是通过PreparedStement接口来操作,可以防止sql注入,并且在多次执行sql语句时可以提高效率。 2、$只是简单的字符串拼接而已,所以要特别小心sq
mybatis的#和$使用和区别
m0_61682705的博客
07-03 318
MyBatis是一种基于Java的持久层框架,用于将数据库操作和Java对象之间的映射进行处理。在MyBatis,#和$符号是用于SQL语句的占位符。在使用符号时,需要注意一些风险,例如如果使用不当,可能会导致SQL注入攻击。因此,建议在使用符号时,对参数值进行严格的检查和过滤处理。
关于mybatis#和$的区别,以及什么时候我们要用$
最新发布
qq_62462081的博客
03-31 970
关于mybatis#和$的区别,以及什么时候我们要用$,怎么防止$的sql注入
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
浅谈mybatis的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
Apollo配置心(Springboot接入)
wyplj2015的博客
08-05 5746
apollo apollo是一个分布式配置心(其实也是一个微服务项目)。 原理就是把配置文件的key,value的值存到Apollo,然后项目启动的时候从Apollo读取 1、为什么使用apollo 在我们开发分布式微服务项目的时候,那些配置一旦变更,就需要重启服务,这样非常不友好。因此我们考虑动态更改配置文件当的配置,所以把那些配置全部存放在apollo当,这样就能达到动态的效果,并且不用重启服务。 2、主要功能 能够集式管理不同环境(environment)、不同集群(clus
Mybatis sql模糊查询(先排序后去重)和时间范围查询
wyplj2015的博客
07-16 1601
模糊查询 模糊查询本身用like关键字即可: SELECT DISTINCT field_name FROM table_name WHERE field_name LIKE "%"#{fieldName,jdbcType=VARCHAR}"%" 这里要注意"%"的使用,如果不加的话,mybatis解析错误 另外,jdbcType=BIGINT的模糊查询存在问题 一般模糊查询都需要去重,会用到distinct关键字,但我们的需求又希望能输出按某个字段排序的前几个,比如:按时间倒序的前五个,这个时候s
Mybatis Mapper映射到XML
wyplj2015的博客
09-05 1215
Mapper
rest服务理解以及restful api
wyplj2015的博客
10-23 902
REST服务 rest-----(resource)REpresentational State Transfer,即资源在网络以某种表现形式进行状态转移。 Resource:资源,即数据(前面说过网络的核心)。Representational:某种表现形式,比如用JSON,XML,JPEG等。State Transfer:状态变化。通过HTTP动词实现。 优点:改变网页前后端融在一起的现...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值