mybatis中的#和$的区别 及防sql注入原理 和hibernate区别

最新推荐文章于 2021-09-06 10:52:42 发布
最新推荐文章于 2021-09-06 10:52:42 发布
阅读量594 收藏 5
点赞数
分类专栏: Java hibernate mybatis 文章标签: sql注入 mybatis hibernate
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zjh_746140129/article/details/80217804
版权
Java 同时被 3 个专栏收录
8 篇文章 0 订阅
订阅专栏
mybatis
2 篇文章 0 订阅
订阅专栏
hibernate
1 篇文章 0 订阅
订阅专栏
一、mybatis中的#和$的区别
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id",在使用order by时不能用#
2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为order by user_id,  如果传入的值是id,则解析成的sql为order by id. 
3. #方式能够很大程度防止sql注入。
4.$方式无法防止Sql注入
5.$方式一般用于传入数据库对象,例如传入表名.
6.一般能用#的就别用$.
7.MyBatis排序时使用order by 动态参数时需要注意,用$而不是#

二、mybatis防sql注入原理
#其实相当于占位符,这样不管传进来的参数是什么就直接对应每个参数的下标,而$采用直接拼接的方式,这样就会存在sql注入攻击
例如如下例子:(待更新)

#{}:相当于JDBC中的PreparedStatement
${}:是输出变量的值
简单说,#{}是经过预编译的,是安全的;${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。
如果我们order by语句后用了${},那么不做任何处理的时候是存在SQL注入危险的。你说怎么防止,那我只能悲惨的告诉你,你得手动处理过滤一下输入的内容。如判断一下输入的参数的长度是否正常(注入语句一般很长),更精确的过滤则可以查询一下输入的参数是否在预期的参数集合中。

三、hibernate和mybatis的区别
1、sql方面:mybaits通过mapper.xml维护映射结果,程序员手动编写sql相比hibernate自动生成hql(hibernate sql)更加灵活,sql调优更加容易(hibernate因为更好的封装性,开发效率提高的同时,sql语句调优要更费力,当然可以手动修改sql来优化,但是同时也会影响开发效率);hibernate的hql数据库移植性更好,体现在强壮性。hibernate在级联删除的时候效率低;数据量大, 表多的时候,基于关系操作会变得复杂。
2、缓存方面:mybatis和hibernate都可以使用第三方缓存,而hibernate相比maybatis有更好的二级缓存机制。

(待更新)



zjh_746140129
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JavaEE SpringMyBatis是什么? 它和Hibernate区别及如何配置MyBatis
08-24
Spring 是一个全面的开发框架,提供了依赖注入、面向切面编程、事务管理等功能,而 MyBatis 是一个轻量级的持久层框架,专注于 SQL 查询和数据对象的映射。MyBatis 通过 XML 或注解的方式将 Java 对象与数据库表进行...
SQL注入原理与解决方法代码示例
09-09
1. SQL注入原理: 当用户输入的数据未经验证或过滤直接拼接到SQL查询时,攻击者可以通过输入特定的字符串来改变查询的逻辑。例如,通常的登录验证查询可能是这样的: ```sql SELECT * FROM users WHERE ...
Positional parameter are considered deprecated; use named parameters or JPA-style positional paramet
LzwGlory的专栏
01-14 564
hibernate 4.1之后对于HQL查询参数的占位符做了改进,如果仍然用老式的占位符会有类似如下的告警信息: [main] WARN [org.hibernate.hql.internal.ast.HqlSqlWalker] – [DEPRECATION] Encountered positional parameter near line 1, column 95. Posi...
mybatis #$区别
热门推荐
10-09 7万+
MyBatis/Ibatis#$区别 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".   2. $将传入的数据直接显示生成在sql。如:order by $us
Mybatismybatis的知识总结(一)
Luck_And_Destiny的博客
09-06 197
什么是Mybatis? Mybatis 是一个半 ORM(对象关系映射)框架,它内部封装了 JDBC,开发时 只需要关注 SQL 语句本身,不需要花费精力去处理加载驱动、创建连接、创建 statement 等繁杂的过程。程序员直接编写原生态 sql,可以严格控制 sql 执行性 能,灵活度高。 MyBatis 可以使用 XML 或注解来配置和映射原生信息,将 POJO 映射成数 据库的记录,避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。 通过 xml 文件或注解的
mybatis#{}和${}的区别
LittleFlown的博客
10-15 190
#{}: #{}一个占位符号      通过#{}可以实现preparedStatement向占位符设置值,自动进行java类型和jdbc类型转换;      #{}可以有效sql注入;      #{}可以接收简单类型值或pojo属性值。      如果parameterType传输单个简单类型值,#{}括号可以是value或其它名称。 #{}: ${}表示拼接sql
Hibernate使用入门详解(3)
lawfree的博客
12-31 1888
提纲: 1.表与表之间的关系 2.hibernate一对多操作 (1)一对多映射配置 (2)一对多级联保存 (3)一对多级联删除 (4)inverse属性 3.hibernate多对多操作 (1)多对多映射配置 (2)多对多级联保存 (3)多对多级联删除 (4)维护第三张表 1.表与表之间的关系一对
MyBatisHibernate和JDBC的区别以及#$区别
qq_43719280的博客
04-03 565
区别 1.MyBatisHibernate区别 MyBatis自己写SQL,性能更好控制,效率慢 Hibernate不用自己写SQL,性能不好控制,效率快 2.MyBatis和JDBC的区别 MyBatis只需要关注SQL,其它完成了封装 MyBatis是对JDBC的封装 3.#$区别 #(接收普通参数,预编译,性能好,安全性高) $正好相反Sql不支持这个,只有在oracle才有 1...
SQL注入的方法总结
12-15
HibernateMyBatis等对象关系映射框架,它们在底层处理了SQL的预编译和参数绑定,降低了SQL注入的风险。但使用时仍需注意框架的安全配置,避免框架的默认设置带来的潜在问题。 9. **持续更新与审计**: 定期...
spring boot 2多数据源,里面有hibernatemybatis的多数据源代码
07-09
在Spring Boot 2框架,实现多数据源的配置是一项重要的任务,特别是在大型企业级应用,可能需要连接到...通过合理配置和使用HibernateMyBatis,我们可以高效地管理和操作多种数据库,满足复杂业务场景的需求。
浅谈Mybatis #$区别以及原理
08-18
主要介绍了浅谈Mybatis #$区别以及原理,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
有效SQL注入的5种方法总结
09-09
框架如HibernateMyBatis等提供了对象关系映射,它们会自动处理SQL注入问题。ORM框架通常会将用户输入转化为安全的参数,从而减少直接操作SQL语句带来的风险。 4. 最小权限原则 数据库连接应使用具有最小权限的...
Mybatis #$区别以及原理
张井天的博客
06-04 4万+
总结: #可以Sql 注入,它会将所有传入的参数作为一个字符串来处理。 $ 则将传入的参数拼接到Sql上去执行,一般用于表名和字段名参数,$ 所对应的参数应该由服务器端提供,前端可以用参数进行选择,避免 Sql 注入的风险 为什么? 为什么 #$ 的作用不同,Mybatis 对他们做了哪些惨无人道的处理,我们看一下下面的例子,并追踪一下源码总结。 示例代码: 创建一个 tb...
《深入理解mybatis原理(十二)》 mybatis深入理解之#$区别
pfnie的博客
11-19 1万+
一、介绍       mybatis 使用 Mapper.xml里面的配置进行 sql 查询,经常需要动态传递参数,例如我们需要根据用户的姓名来筛选用户时,sql 如下: select * from user where name = "Jack";上述 sql ,我们希望 name 后的参数 "Jack" 是动态可变的,即不同的时刻根据不同的姓名来查询用户。在 Ma
MybatisHibernateSQL注入
persistence勿忘初心
03-25 1076
SQL是如何注入SQL注入是目前黑客最常用的攻击手段,它的原理是利用数据库对特殊标识符的解析强行从页面向后台传入。改变SQL语句结构,达到扩展权限、创建高等级用户、强行修改用户资料等等操作。 为什么这么说,下面就以JAVA为例进行说明: 假设数据库存在这样的表: table user( idvarchar(20)PRIMARY KEY ,...
HibernateSQL注入攻击的方法
mdifferent的专栏
05-15 7648
<br /> <br />如果在查询字段输入单引号"'",则会报错,这是因为输入的单引号和其他的sql组合在一起编程了一个新的sql,实际上这就是SQL注入漏洞,后来我在前台和后台都对输入的字符进行了判断。<br /> <br />永远也不要写这样的代码:<br />     String queryString = "from Item i where i.description like '" + searchString + "'";<br />     List result = session.
mybatis SQL注入$#区别
mengtianqq的博客
03-27 4364
mybatis SQL注入$# 目录 mybatis SQL注入$# 一、在sql语句#可以止被注入$可以动态插入列名或者表名。 二、动态插入列名或表名的方便, 一、在sql语句#可以止被注入$可以动态插入列名或者表名。 1.在sql#{}是传参数的方式插入值,#{value}碧不参与bybatis的代码编译,是实际上#{value}就是自动帮我们加了双引...
mybatis#{}和${}和区别,以及sql注入
m0_37485569的博客
07-23 1105
1:#{}在预编译时,会把参数用?代替,所有传入的数据都会被当成一个字符串。 2:${}则是简单的替换字符串,参数会被当成sql编译。 3:#{}可以sql注入,能用#{}就不用${} 4:${}一般用于传入表名和字段名,使用时需要手动sql注入。...
mybatis#{}和${}的区别
最新发布
09-06
${}是字符串替换,将传入的参数直接替换到SQL语句,不进行预编译处理,可能会存在SQL注入攻击的风险,同时也不会进行类型转换。 因此,一般情况下,建议使用#{}来传递参数,以保证SQL的安全性和可读性。而${}一般...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值