MyBatis-- 浅谈SQL中 #、$参数的动态解析过程

最新推荐文章于 2023-08-28 21:05:09 发布
最新推荐文章于 2023-08-28 21:05:09 发布
阅读量1.6k 收藏 8
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 05丨系统架构 文章标签: Mybatis #{}和${} sql注入 sql动态解析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/JustinQin/article/details/91630835
本文详细探讨了MyBatis中#{}和${}在SQL动态解析过程中的差异,解释了它们在预编译、参数处理和防止SQL注入等方面的作用。建议尽量使用#{}以提高安全性和性能,但在特定场景如表名、字段名拼接时需谨慎处理防止SQL注入。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

一、学习背景

二、语句过程(Mybatis)

三、过程分析

3.1 sql动态解析

3.2 sql 预编译

3.3 DBMS(执行)

四、sql字符串拼接

4.1 ${}写法

4.2 #{}写法

五、引号问题

5.1 #{}带引号

5.2 ${}不带引号

六、sql注入问题

实例1:字段名注入

实例2:表名注入

七、总结

学习资料

引号说明

一、学习背景

很多Java面试面试官都会问到Mybatis相关问题,其中#{}、${}的使用区别最为常见,大多人都会回答:

#{}参数带引号,而${}参数不带引号;

#{}防sql注入,${}不防sql注入。

单单两句话概括的话,个人觉得这个回答稍微有点肤浅了。具体怎么个带引号法,为什么要防sql注入,注入生效会导致什么结果也没大概说一下。

本文就从Mybatis特性之一的sql动态解析,#{}、${}解析的不同展开学习,相信一定会给你的回答再加点猛料,没时间看过程的童鞋直接拉最后看总结  ~哇~ 不过这个学习过程也很重要的,有时间就看看吧。

文章主要阐述个人对所学知识的观点,有不合理的地方,欢迎纠正补充,有大犇光顾,欢迎给点指引,蟹蟹,哈哈哈哈!!!

二、语句过程(Mybatis)

三、过程分析

3.1 sql动态解析

sql动态解析是Mybatis的重要特性之一,也是Mybatis相比其他ORM框架的优势所在。sql动态解析时,sql会被解析为BoundSql对象,此处进行动态 SQL的处理。

sql动态解析阶段,#{}、${}有不同的处理体现

#{}解析为占位符?即JDBC 预编译语句(prepared statement)的参数标记符。

select * from table_name where id= #{id};

id传参数值为字符串1,解析为:

select * from table_name where id= ?;

${}则是直接拼接不带引号的参数值到sql语句上。

select * from table_name where id=${id};

解析为:

select * from table_name where id= 1;

表明${}在sql动态解析阶段进行变量替换。

3.2 sql 预编译

数据库驱动在发送sql语句和参数给DBMS之前对sql语句进行编译,这样DBMS执行sql时,就不需要重新编译。预编译阶段,会将sql动态解析阶段#{}解析到的占位符?替换为参数值(带引号的)即变量替换。

3.3 DBMS(执行)

DBMS即Database Management System(数据库管理系统)。mapper.xml自定义的sql语句,经过动态解析阶段、预编译阶段后,得到最终要发送到DBMS执行的sql。

四、sql字符串拼接

动态sql语句进行字符串拼接时写法不同,例如模糊查询like后的字

最低0.47元/天 解锁文章

200万优质内容无限畅学
sql注入Mybatis中的#{参数}${参数}
qq_45859087的博客
08-08 1034
sql注入Mybatis中的#{参数}${参数}sql注入概述:mybatis中的#{参数} ${参数}sql注入解决方案#{参数}${参数}总结 sql注入概述: 针对SQL注入的攻击行为可描述为:在与用户交互的程序中(如web网页),非法用户通过可控参数注入SQL语法,将恶意sql语句输入拼接到原本设计好的SQL语句中,破坏原有SQL语法结构,执行了与原定计划不同的行为,达到程序编写时意料之外结果的攻击行为,其本质就是使用了字符串拼接方式构造sql语句,并且对于用户输入检查不充分,导致SQL
参数动态sql
weixin_30549657的博客
01-20 462
CREATE PROC Procout(@input INT, @result INT output) AS BEGIN SET @result = @input END go DECLARE @input INT SET @input = 100 DECLARE @output I...
手动解析SQL语句
山峰在前方
01-09 761
解析原始sql 如:将 转成 ? 及 clmn的值 public static String getSQLPrepare(String paramSql, Map toValue) { if (paramSql == null || paramSql.length() < 1) { return ""; } List tempList = new ArrayList();
SQL注入总结(一)
guanjian_ci的博客
02-19 621
第一部分:常规注入(数据有回显前端) 第一步:测试数据类型 1.数字型 id=1 and 1=1 页面正常 id=1 and 1=2 页面不正常 2.字符型 id=1‘ and ’1‘=’1 页面正常 id=1‘ and ’1‘=’2 页面不正常 3.睡眠判断(数据不回显前端时使用) id=1' and sleep(10)--+ 页面缓冲10秒说明判断正确 4.开发常用接受参数的类型 数字型: id=$id 字符型: ...
sql语句中的#{}占位符${}占位符
JavaClub
06-09 9244
#方式能够很大程度防止sql注入$方式无法防止Sql注入
sql#{}与${}的区别
最新发布
weixin_72766348的博客
08-28 1279
{}
sql 字段名拼接_实例讲解什么是SQL注入
weixin_35728636的博客
01-25 542
点击上方SQL数据库开发,关注获取SQL视频教程SQL专栏SQL数据库基础知识汇总SQL数据库高级知识汇总WEB技术发展日新月异,但是徒手拼SQL的传统手艺还是受相当多的开发者亲睐。毕竟相比于再去学习一套复杂的ORM规则,手拼更说方便,直观。通常自己拼SQL的人,应该是有听说过SQL注入很危险,但是总是心想:我的SQL语句这么简单,不可能被注入的。花5分钟看完这个完整的例子,从今往后应该...
mybatis动态注入字段名
et0907的博客
04-06 4583
今天公司有个需求,要求基于mysql数据库做字段的模糊查询接口,本人比较懒,总想着写的更通用一点,不想一个需求对应一个接口,那么接下来问题来了。 首先,我在原有的参数类的基础上增加了两个成员变量,一个是查询字段的集合(List),另一个是模糊查询输入框的值,如下: 然后,也就是重点来了,在mybatis的查询SQL配置当中select元素当中增加statementType属性,属性值为
sql${} #{}的区别
qq_34266804的博客
03-01 720
sql中对于传入参数有两种写法,刚开始学的时候总是不知道是什么原因,故此写下此笔记作为解释: $将传入的数据直接显示生成在sql中,那么我们使用 ${}的时候 select * from user where name = ${name}; ${}在动态解析的时候,会将我们传入的参数当做String字符串填充到我们的语句中,就会变成下面的语句 select * from u...
sql#{}, ${}传参的区别
Jeremy的博客
07-19 4006
sql#{}, ${}传参的区别:1、使用#传入参数是,sql语句解析是会加上‘’,是单引号。 比如 select * from table where name = #{name} ,传入的name为小李,那么最后打印出来的就是 select * from table where name = ‘小李’ 就是会当成字符串来解析#{}传参能防止sql注入, 如果你传入的参数为 单引号’
Mybatis参数获取时$#的区别
Xiao_CaCg的博客
10-31 2526
主要对mybatis参数值=获取方式#$做一个简单的总结,如果有疑问自己写段Demo测试,效果比这个估计要好太多。     在mybatis#$获取参数区别:     #{},相当于一个占位符,可以防止SQL注入的问题     ${},用于字符拼接     在使用上能用#,就用#这种方式。     使用#的方式:                             如果参
Sql参数
weixin_44513361的博客
01-20 2578
关于sql参数化 string strSql=&amp;amp;quot;select id,name from [Table] where name=@Name&amp;amp;quot;; using(SqlConnection conn = new SqlConnection (&amp;amp;quot;连接字符串&amp;amp;quot;)) { conn.open(); using(SqlCommand cmd = new Sq
SQL(参数化)的查询
07-30 5573
什么是参数化查询? 一,定义 参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可
#{} 导致 sql 语法分析错误
歪比巴卜
04-27 852
1. #{} 与 ${} 的区别 要了解这个坑就要先了解 #{} ${} 的区别[1.2] #{} ${} 变量替换 变量替换后会自动加上单引号 变量替换后不会加上单引号 sql 注入 能防止 sql 注入 不能防止 sql 注入 拼接 sql 方式 以预编译的形式,将参数设置到 sql 语句中,使用的是 PreparedStatement 直接拼装在 sql 语句中 效率 较低 较高 2. 我的问题 我的问题是变量替换时添加单引号所导致的 mybati
SQL中的动态SQL
qq3164069700的博客
12-16 3955
在介绍动态SQL前我们先看看什么是静态SQL 静态SQL 静态 SQL 语句一般用于嵌入式 SQL 应用中,在程序运行前,SQL 语句必须是确定的,例如 SQL 语句中涉及的列名表名必须是存在的。静态 SQL 语句的编译是在应用程序运行前进行的,编译的结果会存储在数据库内部。而后程序运行时,数据库将直接执行编译好的 SQL 语句,降低运行时的开销。 动态SQL 动态 SQL 语句是在应用程序运行时被编译执行的,例如,使用 DB2 的交互式工具 CLP 访问数据库时,用户输入的 SQL 语句是
java sql参数_Java的sql动态参数
weixin_36303305的博客
02-18 751
在C#的方法中可以使用params Parameter[] values来动态获取sql语句中的参数值数组。Java中可以自己封装出一个类似于C#的方法1、获取结果集/*** 获取结果集* @param sql SQL语句* @param params SQL语句数据数组* @return 结果集*/public static ResultSet getResultSet(String sql,...
MyBatis动态sql${}#{}区别
hqing159的博客
11-16 4161
前言​ 接触mybatis也是在今年步入社会之后,想想也半年多了,缺没时间去系统的学习,只知道大概,也是惭愧。​ 不知道有多少刚毕业的同学我一样,到现在还没仔仔细细去了解你每天都会见到使用到的框架呢?​ 什么?你也不知道mybatis动态sql${}#{}的差异?其实我也是今天才知道的,我们一起来学习一下吧。正文不够刺激,再增加一点前戏​ 在mybatis中,使用sql查询时,
mybatis中碰到的问题:接收参数时,#{ } 接收不到而 ${ } 却能正确接收
heshangbukun的博客
11-15 4490
mybatis中写了一个简单的sql并使用了注解的方式进行传值,代码如下: mapper.java中 void update(@Param("usercode") String usercode); mapper.xml 文件中 update reward set 1=1 where usercode=#{usercode} 出现的问题:在sql获得传入的参数时,发现在控制台...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吾日三省贾斯汀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值