Mybatis的SQL语句中#{}和${}的区别

已于 2023-03-25 19:01:15 修改
阅读量728 收藏 3
点赞数
分类专栏: mybatis 文章标签: mybatis 参数 区别
于 2020-06-30 12:53:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xp_xpxp/article/details/107040228
版权

1>.#{}是预编译处理,${}是字符串替换;

2>.在动态SQL解析阶段,#{}${}会有不同的表现:

例如SQL语句: select * from table where field1=#{xxx} AND field2=‘${xxx}’;

①.#{}会被解析为一个JDBC预编译语句(prepared statement)的参数标记符占位符?,之后再调用PreparedStatement的set方法来赋值.上面的SQL语句就被解析为:

...... field1=?

②.${}仅仅为一个纯碎的字符串替换,在mybatis的动态SQL解析阶段将会进行变量替换.比如:传入的field2参数是’张三’.上面的SQL语句就被解析为:

...... field2='张三'

解析完成的完整语句就是:

select * from table where field1=? AND field2='张三'

最后把解析好的SQL语句再通过JDBC执行;

3>.使用#{}可以有效的防止SQL注入,提高系统安全性.原因在于:预编译机制.预编译完成之后,SQL的结构已经固定,即便用户输入非法参数,也不会对SQL的结构产生影响,从而避免了潜在的安全风险;

①.预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译.我们知道,SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作.而预编译机制则可以很好的防止SQL注入;

②.在动态SQL解析阶段’#{}‘部分会被解析为一个JDBC预编译语句(prepared statement)的参数标记占位符’?'.例如select * from tableName where field = ?,而传入的参数将会经过PreparedStatement方法的强制类型检查和安全检查等处理,最后作为一个合法的字符串传入;

例如传入参数为a'or'1=1,使用#{},经过SQL动态解析和预编译,会把单引号''转义为\',那么SQL最终解析为:select * from table where field = "a\' or \'1=1";

4>.再看${}这种方式只会做简单的字符串替换,在动态SQL解析阶段将会进行变量替换.

①.假如传递的参数为51mn,SQL最终解析为: select * from table where field = '51mn';

②.由于参数部分在预编译处理之前就已经被替换,传入的参数没有经过PreparedStatement方法的强制类型检查和安全检查等处理,会导致SQL语句有被注入的风险;

例如传入的参数是a'or'1=1,那么使用${}经过处理后直接替换字符串的SQL就解析为:select * from table where field = 'a' or '1=1',那么最终的结果肯定不是用户想要的!

一code当先
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis的#和$使用和区别
学无止境
02-27 802
mybatis的#和$使用和区别
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis,使用Mapper.xml文件来定义SQL语句,并使用#{ }和${ }来传递参数。那么,在Mybatis下动态sql##和$$的区别是什么呢? 首先,我们需要了解的是,Mybatis在对SQL语句进行预编译之前,会对SQL语句进行...
(记录)关于mybatisSQL语句#符号和$符号的坑
qq_55024883的博客
10-25 257
(记录)关于mybatisSQL语句#符号和$符号的坑
MyBatis#和$符的区别sql注入问题,动态sql语句
m0_73381672的博客
02-06 1310
#{}和${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
Mybatis#和$的区别
热门推荐
伏颜的博客
07-11 1万+
Mybatis#和$的区别
MyBatis之动态SQL、#与$的区别和结果映射
weixin_74268571的博客
08-24 2849
MyBatis动态SQL的概念与常用元素,三种模糊查询的方式以及#和$的区别Mybatis的结果映射---resultType与resultMap的区别
mybatismybatisplus的使用,sql语句#,$符号的区别
qq_45541846的博客
01-13 1221
mybatismybatisplus的使用,sql语句#,$符号的区别
MyBatis的xml #和$的区别
梅林's hat
11-11 1531
1. #是将传入的值当做字符串的形式 select id,name,age from student where id =#{id} 当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1 2 $是将传入的数据直接显示生成sql语句 select id,name,age from student where id =${id} 当前端把id值1,传入到后台的时候,就相当于 select i...
面试:mybatissql语句#和$区别
weixin_56526539的博客
05-13 126
mybatissql语句#和$区别
Mybatissql语句的#号和$号的区别
m0_46672151的博客
03-20 1260
1、#{变量名} #{变量名}可以进行预编译、类型匹配等操作,#{变量名}会转化为jdbc的类型。 select * from tableName where id = #{id} 假设id的值为12,其如果数据库字段id为字符型,那么#{id}表示的是‘12’;如果是整型,则id的值为12; 并且Mybatis会将上面SQL语句转化为jdbc的 select * from tableName where id =?,把?参数值设置为id的值。 这种方式使得sql语句是经过预编译的,它是把#{}间的
mybatis - 取值符号:# 和 $的区别
pig_ning的博客
04-25 628
mybatis - 取值符号:# 和 $的区别
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
浅谈Mybatis #和$区别以及原理
08-18
Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别Mybatis,#和$都是占位符,但是它们...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
首先,`#{}`是MyBatis的预编译参数占位符,它会将传入的参数值转化为PreparedStatement的参数,即在SQL语句执行前,MyBatis会将`#{}`的内容替换为`?`,然后在执行时安全地设置参数值。例如,`name = #{name}`在...
MyBatis#{}和${}的区别详解
09-01
SQL语句使用`#{}`时,MyBatis会将传入的值转化为一个问号(?)代表的参数,例如`WHERE user_id = #{user_id}`。这样做的好处是能够防止SQL注入攻击,因为数据库会将这些参数视为预定义的值,而不是直接拼接到SQL...
[毕业设计]VB环境下电脑销售与财务管理系统开发(ACCESS+源代码+论文).zip
08-05
[毕业设计]VB环境下电脑销售与财务管理系统开发(ACCESS+源代码+论文)
PPO(Proximal Policy Optimization,近端策略优化)算法
最新发布
08-05
在解答2024年华数杯全国大学生数学建模竞赛的C题“老外游国”时,虽然PPO(Proximal Policy Optimization,近端策略优化)算法主要是应用于强化学习领域,特别是在解决连续动作空间的策略优化问题上,但在此数学建模竞赛,它并不直接适用于数据处理、综合评价或路径规划等任务。不过,我们可以从数据处理和决策优化的角度,类比强化学习的一些思想来构思解题策略。 然而,对于本题而言,我们可以更侧重于数据分析、综合评价模型(如层次分析法AHP、TOPSIS、模糊综合评价等)和路径规划算法(如Dijkstra、A*、遗传算法等)来解决问题。以下是对各个问题的进一步建模思路: 一、问题1建模思路 1.1 数据处理与分析 数据收集与清洗:首先,需要加载所有352个城市的CSV文件,对每个城市的100个景点信息进行数据清洗,去除无效或缺失的关键信息(如评分缺失的景点)。 最高分查找:遍历所有景点,找到最高评分(BS),并统计获评该评分的景点数量。 城市排名:统计每个城市获评BS的景点数量,并根据数量多少进行排序,列出前10个城市。 二、问题2建模思路 2.1 综合评价体系构建
国城市统计年鉴(1985-2023)
08-05
国城市统计年鉴》是全面反映国城市社会经济发展情况的资料性年刊。《国城市统计年鉴—2023》收录了2022年全国各级城市社会经济发展等方面的主要统计数据。 本年鉴内容共分四个部分: 第一部分是全国城市行政区划,列有不同区域、不同级别的城市分布情况; 第二、三部分分别是地级以上城市统计资料和县级城市统计资料,具体包括人口、资源环境、经济发展、科技创新、人民生活、公共服务、等方面的数据; 第四部分是附录,为主要统计指标解释。 需要说明的是,从1997年开始,地级以上城市和县级城市分别采用不同的统计制度,有些指标在两类城市之间不具有可比性,故本年鉴将地级以上城市和县级城市统计资料分为独立的两部分。本年鉴所涉及的全国或全部城市统计资料,均未包括香港特别行政区、澳门特别行政区和台湾省。
TP900 驱动工具2.2
08-05
TP900 驱动工具2.2
Mybatis模糊查询用#和$什么区别
03-28
SQL语句使用LIKE关键字可以做到模糊匹配,比如在查询名字包含“张”的用户时,可以使用如下语句: SELECT * FROM users WHERE name LIKE '%张%' 其%表示通配符,表示匹配任意字符,所以'%张%'可以匹配任意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值