SQL中# 与$ 的区别

最新推荐文章于 2025-06-26 21:35:41 发布
转载 最新推荐文章于 2025-06-26 21:35:41 发布 · 1.2k 阅读 · 4
文章标签:

#SQL中# 与$ 的区别 #防止SQL注入方法

SQL中# 与$ 的区别

区别:

(1)#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是id,则解析成的sql为order by "id"。

(2)$将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是id,则解析成的sql为order by id。

(3)#方式在很大程度上能够防止sql注入。

(4)$方式无法防止sql注入。

(5)$方式一般用于传入数据库对象,例如传入表名。(这里得注意SQL注入问题

(6)一般能用#的就别用$。

ps:在使用mybatis中还遇到<![CDATA[]]>的用法,在该符号内的语句,将不会被当成字符串来处理,而是直接当成sql语句,比如要执行一个存储过程。

 

总结区别:#{} 传入值时,sql解析时,参数是带引号的,而${}穿入值,sql解析时,参数是不带引号的。

 

举个例子:

select * from ${table_Name} where name = #{name}

在这个例子中,如果表名为

   user; delete user; --

  则动态解析之后 sql 如下:

select * from user; delete user; -- where name = ?;

--之后的语句被注释掉,而原本查询用户的语句变成了查询所有用户信息+删除用户表的语句,会对数据库造成致命损伤。

但是表名用参数传递进来的时候,只能使用 ${} 。这也提醒在这种用法中要小心sql注入的问题。

 

防止SQL注入方法:

首先,永远不要相信用户的输入。

(1)不使用SQL,考虑NoSQL。

(2)正则表达式,字符串过滤。

(3)参数绑定PreparedStatement。

(4)使用正则表达式过滤传入的参数。

(5)JSP中调用该函数检查是否包函非法字符或JSP页面判断代码。JSP参考JSP使用过滤器防止SQL注入

君 生
关注
MyBatis的SQL映射文件中,`#`和`$`符号的区别
weixin_42551921的博客
04-30 450
在MyBatis的SQL映射文件中,和符号用于处理SQL语句中的参数替换,但它们的工作方式和使用场景有所不同。#{}
新人一看就懂: #{} 和 ${} 的区别
热门推荐
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
MyBatis 笔记——动态参数 `#` 和 `$` 的使用
最新发布
笑衬人心的博客
06-26 1579
本文介绍了MyBatis中的动态SQL功能以及#$参数占位符的使用区别。主要内容包括:1) 动态SQL通过<if>,<choose>,<foreach>等标签实现条件查询;2) #占位符能自动转义参数,防止SQL注入,适用于大多数场景;3) $占位符直接拼接参数,存在安全风险,仅限表名/列名等特殊场景使用;4) 提供了多种动态SQL参数占位符结合的示例代码。最后强调应优先使用#以确保安全性,仅在必要时谨慎使用$
SQL#$区别
weixin_47918681的博客
09-23 3700
一 、在这里用到了#{},使用#时: 1、用来传入参数,sql在解析的时候会加上” “,当成字符串来解析 ,如这里 role_id = “roleid”; 2、#{}能够很大程度上防止sql注入; 延伸: 1、用{roleId,jdbcType=INTEGER},那么sql在解析的时候值为roleId = roleId,执行时会报错; 2、${}方式无法防止sql注入; 3、$一般用入传入数据库对象,比如数据库表名; 4、能用#{}时尽量用#{}; 注意: mybaties排序时使用order by 动态参
SQL语句
silence_lu_的博客
08-01 479
区别: (1)#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是id,则解析成的sql为order by "id"。 (2)$将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是id,则解析成的sql为order by id。 (3)#方式在很大程度上能够防止sql注入。 (4)$...
sql${} 和 #{}的区别
try to do
07-18 8572
转自 https://blog.youkuaiyun.com/qq_15901351/article/details/82290032 项目开发过程中,在mybaitis框架中,sql经常需要动态赋值,会出现#{param} 、${param}两种形式。 接下来,我们一起来看一个案例:根据用户的姓名来筛选用户信息,其中用户姓名不确定,是动态变化的,sql如下: select * from userInfo ...
Mybatis下动态sql##$$区别讲解
08-26
Mybatis下动态sql##$$区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis中,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis中,使用...
MyBatis中#$符的区别sql注入问题,动态sql语句
m0_73381672的博客
02-06 1932
#{}和${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
Mabitis中的#$符号区别及用法介绍
08-31
在MyBatis中,`#`和`$`符号在SQL动态语句中扮演着不同角色,它们的主要区别和用法如下: 一、`#``$`的区别 1. `#{}`:MyBatis将`#{}`视为PreparedStatement的参数标记符。当SQL语句中的`#{}`被解析时,它会被...
浅谈Mybatis #$区别以及原理
08-18
Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #$区别 在Mybatis中,#$都是占位符,但是它们...
sql#$区别
qq_40045795的博客
06-19 1585
sql#$区别 区别: (1)#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是id,则解析成的sql为order by “id”。 (2)#方式在很大程度上能够防止sql注入。 (3)$将传入的数据直接显示生成在sql中。如:order by useriduser_iduseri​d,如果传入的值是id,则解析成的sql...
sql#$区别
u013232219的博客
02-20 2083
三:sql#$区别#可以防止sql注入 #是占位符,在DBMS才进行替换,在预编译时使用?占位,能防止sql注入; deletefromuserwherename = ?; 而传入的参数将会经过PreparedStatement方法的强制类型检查和安全检查等处理,最后作为一个合法的字符串传入。 在#{}预...
sql $#区别以及作用
qq_40308117的博客
04-15 1500
#{} mysql#{}表示占位符,相当jdbc中的?,可以很大程度地防止注入攻击(可百度百科sql注入攻击) 后面的花括号{}的值直接替换?并转化字符串,举例: select * from user where id = #{id},id = 1 sql语句就变为 select * from user where id = ‘1’ ${} ${} 就是将值直接传进{}里面...
#$区别
薛定谔的猫的博客
07-25 2589
预编译处理:Mybatis在处理#{}时候,会将SQL中的#{}转换为?,使⽤ PreparedStatement 的 set ⽅法来赋值。直接替换:是MyBatis 在处理 ${} 时,就是把 ${} 替换成变量的值。
[极客大挑战 2019]LoveSQL
qq_37301470的博客
11-12 680
万能密码登录成功没有发现flag 判断藏在数据库里 check.php?username=1' or '1'='1&password=123456' or '1'='1 登陆成功返回的密码 7a2d6a8fd56b61a79bba61ee8f5ad02c 直接开始联合注入 check.php?username=1' union select 1,2,3%23&password=1 check.php?username=1' union select 1,2,database()%23&
SQL 注入漏洞原理以及修复方法
m0_74824112的博客
03-22 1121
具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。注:把magic_quotes_gpc选项打开,在这种情况下所有的客户端GET和POST的数据都会自动进行addslashes处理,所以此时对字符串值的SQL注入是不可行的,但要防止对数字值的SQL注入,如用intval()等函数进行处理。使用参数化SQL语句,同时也能提高查询的效率。
【网络安全】SQL注入漏洞的修复建议
Yb528970805的博客
09-25 2505
修复SQL注入漏洞需要仔细过滤危险字符和使用参数化查询或预编译语句。这两种方法可以有效地保护您的应用程序免受SQL注入攻击的威胁。在编写代码时,请始终考虑安全性,以确保您的应用程序和用户的数据都得到充分的保护。如果你也需要学网络安全,成为一名白帽黑客,可以看这份2023年最详细最全面的教程资料合集内容【戳下文链接即可学习】自学网络安全(黑客)技术多长时间能达到就业的水平?t=N7T8自学网络安全(黑客)技术多长时间能达到就业的水平?
MyBatis之动态SQL#$区别和结果映射
weixin_74268571的博客
08-24 3897
MyBatis动态SQL的概念常用元素,三种模糊查询的方式以及#$区别,Mybatis的结果映射---resultTyperesultMap的区别
sql中使用#或者$
03-21
<think>好的,我需要回答用户关于SQL#$符号的用法、作用及场景的问题。根据提供的引用内容,用户主要关心的是在MyBatis框架中这两个符号的区别,以及它们如何影响SQL注入和预编译处理。 首先,我应该先明确#{}和${}在MyBatis中的基本区别。根据引用[1]和[3],#{}是预编译处理,能够防止SQL注入,而${}是字符串替换,存在安全风险。需要详细说明两者的工作机制,比如预编译如何处理参数,而字符串替换直接拼接SQL语句,可能导致注入漏洞。 接下来,需要列举它们的使用场景。例如,虽然${}有风险,但在动态表名、字段名或排序时可能需要用到,因为#{}在这些情况下无法正确替换,会导致语法错误。这时候必须使用${},但需要注意手动过滤参数,防止注入攻击。 然后,应该举例说明两者的具体应用,比如在普通参数传递时使用#{},而在动态排序字段时使用${}。同时,引用中提到模糊查询的情况,使用#{}需要结合concat函数,而${}虽然可以但不够安全,这部分也需要解释清楚。 另外,需要提到性能和安全性的权衡。预编译的#{}可以缓存执行计划,提升性能,而${}每次都要重新解析,可能影响性能,但灵活性更高。 最后,总结使用建议,优先使用#{},在必要时谨慎使用${},并采取安全措施。同时生成相关问题,帮助用户进一步理解,比如如何防止SQL注入,动态SQL的应用,或者预编译的其他优点。 需要确保回答结构清晰,分点说明,引用正确的来源,并在适当的位置添加引用标记。同时,检查是否符合系统级指令,如使用中文,正确应用LaTeX格式,生成相关问题等。</think>在SQL(特别是MyBatis框架)中,`#{}`和`${}`符号用于参数替换,但两者在实现方式和安全性上有显著差异。 ### 1. `#{}`的作用及场景 - **作用**: `#{}`是预编译处理,会将参数转换为`?`占位符,并通过JDBC的`PreparedStatement`执行,例如: ```sql SELECT * FROM user WHERE id = #{userId} ``` 实际执行时会变为`SELECT * FROM user WHERE id = ?`,参数值通过安全方式填充[^1][^3]。 - **优势**: - 防止SQL注入攻击,例如输入`&#39; OR 1=1`会被转义为普通字符串而非可执行代码[^2][^3]。 - 支持自动类型转换(如日期、字符串格式化)。 - 预编译语句可重复利用,提升性能。 - **典型场景**: 普通参数传递、模糊查询(需搭配`CONCAT`函数): ```sql SELECT * FROM user WHERE name LIKE CONCAT(&#39;%&#39;, #{keyword}, &#39;%&#39;) ``` --- ### 2. `${}`的作用及场景 - **作用**: `${}`是直接字符串替换,例如: ```sql SELECT * FROM ${tableName} WHERE id = ${userId} ``` 若`tableName`值为`user`,则直接拼接为`SELECT * FROM user WHERE id = 123`。 - **风险**: - 存在SQL注入风险,例如若`tableName`被赋值为`user; DROP TABLE user--`,可能导致数据丢失[^3]。 - 无类型转换,需手动处理格式。 - **适用场景**: 动态表名、字段名、排序语句等无法用预编译占位符的情况: ```sql SELECT * FROM user ORDER BY ${sortField} ASC ``` 使用时需严格校验参数合法性。 --- ### 3. 对比总结 | 特性 | `#{}` | `${}` | |--------------|----------------------------------|--------------------------| | 安全性 | 高(防注入) | 低(需手动过滤风险) | | 执行方式 | 预编译(`PreparedStatement`) | 直接拼接(`Statement`) | | 性能 | 高(可复用执行计划) | 低(每次重新解析SQL) | | 适用场景 | 普通参数、值传递 | 动态表名、字段名、排序 | ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值