(面试)Mybatis中的#和$的区别

最新推荐文章于 2024-06-20 18:59:31 发布
最新推荐文章于 2024-06-20 18:59:31 发布
阅读量3.1w 收藏 3
点赞数 3
分类专栏: 面试

话不多说,直接进入主题

 

一:下面我们写个关于“#”的个sql,看能不能注入。

 <select id="selectUser" resultMap="BaseResultMap">
    SELECT 
        acc.user_name FROM dfws_sys_user_account AS acc
    WHERE
        acc.user_name like #{userName}
 </select>

1.正常传参

DfwsSysUserAccount user = new DfwsSysUserAccount();
user.setUserName("wanglingzhi");
List<DfwsSysUserAccount> list = userAccountService.selectUser(user);
if(list!=null && list.size()>0){
    for (DfwsSysUserAccount u:list) {
        System.out.println("用户名:"+u.getUserName());
    }
}else{
        System.out.println("暂无数据");
}

sql打印:

Preparing: SELECT acc.user_name FROM dfws_sys_user_account AS acc WHERE acc.user_name = ? 

Parameters: wanglingzhi(String)

2.拼接传参

DfwsSysUserAccount user = new DfwsSysUserAccount();
user.setUserName("'wanglingzhi' or acc.user_name = 'shuizhong'");
List<DfwsSysUserAccount> list = userAccountService.selectUser(user);
if(list!=null && list.size()>0){
    for (DfwsSysUserAccount u:list) {
        System.out.println("用户名:"+u.getUserName());
    }
}else{
        System.out.println("暂无数据");
}

sql打印:

Preparing: SELECT acc.user_name FROM dfws_sys_user_account AS acc WHERE acc.user_name = ? 

Parameters: wanglingzhi or acc.user_name = shuizhong(String)

二:下面我们写个关于“$”的个sql,看能不能注入。

<select id="selectUser" resultMap="BaseResultMap">
    SELECT 
        acc.user_name FROM dfws_sys_user_account AS acc
    WHERE
        acc.user_name like ${userName}
</select>


1.正常传参

DfwsSysUserAccount user = new DfwsSysUserAccount();
user.setUserName("'wanglingzhi'");
List<DfwsSysUserAccount> list = userAccountService.selectUser(user);
if(list!=null && list.size()>0){
    for (DfwsSysUserAccount u:list) {
        System.out.println("用户名:"+u.getUserName());
    }
}else{
        System.out.println("暂无数据");
}


打印sql:

SELECT acc.user_name FROM dfws_sys_user_account AS acc WHERE acc.user_name = 'wanglingzhi'

2.拼接传参

DfwsSysUserAccount user = new DfwsSysUserAccount();
user.setUserName("'wanglingzhi' or acc.user_name = 'shuizhong'");
List<DfwsSysUserAccount> list = userAccountService.selectUser(user);
if(list!=null && list.size()>0){
    for (DfwsSysUserAccount u:list) {
        System.out.println("用户名:"+u.getUserName());
    }
}else{
        System.out.println("暂无数据");
}

打印sql:

SELECT acc.user_name FROM dfws_sys_user_account AS acc WHERE acc.user_name = 'wanglingzhi' or acc.user_name = 'shuizhong' 

 

很显然,这里已经sql注入了。

总结:

#{}

预编译SQL,类似于JAVA的预编译,例如:

String sql = "insert into info(name,age) values(?,?)";

PreparedStatement sta = con.prepareStatement(sql);

sta.setString(1, “张三”);

sta.setInt(2, 10);

只不过默认情况下会把参数当做字符串而自动添加一个双引号,例如:order by #id#,当传入的值是10时则为order by “10”。

凡是用到table、column名字的地方都不能用#,例如:insert into/select/delete/order by等这些后面是紧跟table名字和column名字的,这些名字是不允许添加引号的。

优点在于:防止SQL注入。

 

${}

不会预编译,原样输出,不会额外添加任何符号。例如:order by ${id},当传入的值是10时则为order by 10。

缺点:可能发生SQL注入问题。

 

 

原文:https://blog.csdn.net/qq_27811247/article/details/80775036 

原文:https://blog.csdn.net/attack_breast/article/details/88039493 

码莎拉蒂
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
mybatis#和$的区别面试
雷大大的程序猿的博客
11-23 1318
mybatis的#和$的区别 #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”. $将传入的数据直接显示生成在sql。如:order by useriduser_iduseri​d,如果传...
数据库面试问题,挂了:mybatis#和$的区别
learning_559的博客
05-04 368
首先,这是我遇到的一个面试问题 当时我对面试官说,我用mybatis时只用过#字符没有用过$字符。事后我也就来找度娘了。 我看了后就明白了,这个问题是以前也见过的问题,可惜从来没用过也就没什么印象了,今天来加深一下印象! 简单的来说,他们的区别就是#符号可以很大程度上地避免sql注入,而$不能!!! 而sql注入可能会危害到数据库的数据!!! 具体是怎么避免sql注入的,一起来看看吧!(别人的总结...
Java面试八股之Mybatis和JPA的区别
最新发布
u012151345的博客
06-20 426
JPA(尤其是其流行的实现Hibernate)是全自动的 ORM 框架,通过注解或 XML 配置,可以自动生成 SQL 语句,实现对象与数据库表之间的映射,支持更高级的对象关系映射功能。JPA 提供了良好的可移植性,因为它使用标准化的 API,不直接绑定到特定的数据库方言,使得应用可以在不同的数据库之间迁移时减少修改。Mybatis 的 SQL 通常是针对特定数据库编写的,因此与数据库的耦合度较高,移植到其他数据库可能需要修改 SQL 语句。
面试Mybatis的$和#区别
hai1991yu的博客
06-16 1161
Mybatis是如何做到sql预编译的呢?其实在框架底层,是JDBC的PreparedStatemen类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的sql语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行同一个sql时,能够提高效率。原因是sql已编译好,再次执行时无需再编译。#{}:相当于jdbc的PreparedStat...
mybatis #{}与${}的区别 (面试题)
weixin_33756418的博客
10-24 221
MyBatis/Ibatis#和$的区别 1.#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。   如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id". 2.$将传入的数据直接显示生成在sql。 ...
Mybatis#{...}和${...}的区别
NewBeeMu的博客
08-31 248
#{…}:会把参数的位置使用“?”做占位符,执行SQL的时候才会替换“?”的值 ${…}:直接把参数的值作为SQL的一部分来执行→可能会有SQL注入的问题 如何选用: ...:当插入的参数是作为SQL执行的一部分的时候必须使用{...}:当插入的参数是作为SQL执行的一部分的时候必须使用...:当插入的参数是作为SQL执行的一部分的时候必须使用{…} #{…}:当传入的参数是同数据库进行交互的时...
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Mybatis面试题(含答案)_.pdf
08-06
1. #{}和${}的区别是什么? 2. 通常一个 Xml 映射文件,都会写一个 Dao 接口与之对应, 请问,这个 Dao 接口的工作原理是什么?Dao 接口里的方法, 参数不同时,方法能重载吗? 3. Mybatis 是如何进行分页的?分页...
mybatis面试题(经典问答)
06-27
Mybatis 可以通过简单的 XML 或注解将原始类型、接口和 Java POJO(plain old Java objects)配置和映射为数据库的记录。 3.什么是ORM? 全称是对象关系映射。对象映射关系数据库。对象关系映射(ORM,或O/RM,或...
面试专题-MyBatis专题部分
02-22
MyBatis作为一款广泛应用的Java持久层框架,深受开发者喜爱,尤其在求职面试,对MyBatis的理解和掌握程度往往是考察候选人技能的重要一环。本面试专题将深入探讨MyBatis的核心概念、功能特性以及常见问题,帮助...
Java面试题之Mybatis #{}和 ${}的区别是什么?
qq_41026809的博客
05-24 2181
Mybatis的Mapper的配置文件的parameterType(sql语句参数类型)有两种传递参数的方式: #{ }和 ${ } 这二者的区别: (1)#{ } select * from message where name=#{name} 预编译的时候处理为: select * from message where name=? (2)${ } select * f...
Mybatis#号和$的区别,面试时如何不尴尬的回答
wyzdeng的博客
03-14 1049
mybatis#号和$的区别是什么,想必大家在面试过程或多或少都会遇到过这个问题吧! 当面试官问到这个问题的时候,是不是答完:“#号可以防止sql注入,$不可以防止sql注入”。就草草了事了呢? 这么回答正确,没问题!可你有没有想过这么简单的回答有什么意义呢?只能证明你知道答案,对于你个人的能力却毫无展现。 这时对于一个有几年工作经验的你,心是否在想这么简单的问题还要问吗?是面试官在怀疑你...
面试集锦1:精讲#{}和${}的区别是什么?
douzhi7060的博客
03-01 367
经常碰到这样的面试题目:#{}和${}的区别是什么? 网上的答案是:#{}是预编译处理,KaTeX parse error: Expected 'EOF', got '#' at position 20: …符串替换。mybatis在处理#̲{}时,会将sql的#{}替…{}时,就是把${}替换成变量的值。使用#{}可以有效的防止SQL注入,提高系统安全性。 对于这个题目我感觉要抓住两点: (1...
面试官:mybatis#{ }和${ }的区别
qq_41490913的博客
07-22 150
面试官:mybatis#{ }和${ }的区别
mybatis的#和$的区别
yuan_qh的博客
09-13 301
先来一段比较难懂的官话(大佬看的),哈哈哈: 经常碰到这样的面试题目:#{}和${}的区别是什么? 正确的答案是:#{}是预编译处理,${}是字符串替换。 (1)mybatis在处理#{}时,会将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值。 (2)mybatis在处理${}时,就是把${}替换成变量的值。 (3)使用#{}可以有效的防止SQL...
面试高频:mybatis 的 $ 和 # 是有啥区别
qwe123147369的博客
09-07 120
写在前面:2020年面试必备的Java后端进阶面试题总结了一份复习指南在Github上,内容详细,图文并茂,有需要学习的朋友可以Star一下! GitHub地址:https://github.com/abel-max/Java-Study-Note/tree/master 这个问题也是面试常被问到的,就抽空来了解下这个,跳过一大段前面初始化的逻辑,对于一条 select * from t1 where id = #{id} 这样的 sql,在初始化扫描 mapper 的xml文件的时候会根据是否是 dyn
大厂面试常问的#与$的区别
小徐的博客
03-24 353
先上代码让大家更直观的了解#与$在模糊查询区别 第一种在查询语句使用#的模糊查询 在持久层接口添加模糊查询方法 /**模糊查询*/ List<User> findUnClear(String username); 在用户的映射配置文件配置 <select id="findUnClear" parameterType="java.lang.String" r...
Mybatis的#{}和${}的区别面试常问)
爱打篮球爱折腾的程序猿
05-14 285
1、#{}是预编译处理,${}是字符串替换。 2、Mybatis 在处理#{}时,会将 sql 的#{}替换为?号,调用PreparedStatement 的 set 方法来赋值; PreparedStatement ps = conn.prepareStatement(sql); ps.setInt(1,id); 3、Mybatis 在处理$ {}时,就是把${}替换成变量的值。 Statement st = conn.createStatement(); ResultSet rs = s.
Java面试必备:MyBatis深度解析与面试技巧
"Java后端开发的面试指南,侧重于MyBatis面试知识点,包含全面的Java基础知识、实战案例、面试策略以及MyBatis的缓存、分页、插件运行原理等内容。" 在Java后端开发的面试,掌握扎实的基础知识和热门技术至关...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值