mybatis的#{}和${}的区别以及order by注入问题

最新推荐文章于 2024-10-23 17:13:11 发布
最新推荐文章于 2024-10-23 17:13:11 发布
阅读量330 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: java 前端 ViewUI
原文链接:http://www.cnblogs.com/xieshuang/p/11017121.html
本文解析了在使用MyBatis进行数据库操作时,前端传来的排序字段和方式未生效的问题。通过对比#{}

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、问题

根据前端传过来的表格排序字段和排序方式,后端使用的mybaits

select XXXX from table order by #{column} #{desc}

如上面的形式发现排序没有生效,查看打印的日志发现实际执行的sql为,排序没有生效

select XXXXX from table order by "column" "desc"
二、原因分析

主要还是对mybatis传参形式不了解,官方介绍如下:

By default, using the #{} syntax will cause MyBatis to generate PreparedStatement properties and set the values safely against the PreparedStatement parameters (e.g. ?). While this is safer, faster and almost always preferred, sometimes you just want to directly inject an unmodified string into the SQL Statement. For example, for ORDER BY, you might use something like this:
@Select("select * from user where ${column} = #{value}")
User findByColumn(@Param("column") String column, @Param("value") String value);

从官方文档中可以看出#{}相当于jdbc中的preparedstatement,进行了预编译,而${}直接是字符串本身,是有意设计成这样,方便拼接成动态sql,但是这样也带来缺点,可能存在注入问题。

参考阅读:http://www.mybatis.org/mybatis-3/sqlmap-xml.html#Parameters

转载于:https://www.cnblogs.com/xieshuang/p/11017121.html

angyuhh07719
关注
mybatis#$使用区别
学无止境
02-27 1150
mybatis#$使用区别
mybatis order by 排序
xiaofanren1111的博客
03-07 2万+
使用MyBatis解析xml进行排序的时候,遇见排序无效的问题#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #{user_id},如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”。$将传入的数据直接显示生成在sql中。如:order by ${user_id},...
Mybatis order by
chicuoang4118的博客
12-10 206
ibatis#$符号的区别,传入字符串而不加引号1.#是把传入的数据当作字符串,如#field#传入的是id,则sql语句生成是这样,orderby"id",这当然会报错.2.$传入的数据直接生成在sql里,如#field#传入的是id,则sql语句生成是这样,orderbyid...
MyBatis排序时使用order by 动态参数时需要注意,用$而不是#, #{}${}的区别以及order by注入问题
Syd丶
05-23 1万+
ORDER BY ${columnName} 这里MyBatis不会修改或转义字符串。 重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。 #{}相当于jdbc中的preparedstatement ${}是输出变量的值 简单的说就是#{}传过来的参数带单引号''
MyBatis排序时使用order by 动态参数时需要注意,用$而不是#
热门推荐
03-19 3万+
字符串替换 默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用ORDER BY ${columnName} 这里MyBatis不会修改或转义字符串。 重要:接受从用户输出的内容并提供给语句中不变的字符串
18.<Mybatis补充($#区别+数据库连接池)>
m0_73456341的博客
10-23 1949
详解了 1.$#区别 2.数据库连接池。 3.简单了解MySQL企业开发规范
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis中的#$区别
09-02
MyBatis中,`#``$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
浅谈mybatis中的#$区别 以及防止sql注入的方法
09-01
MyBatis中,`#``$`在动态SQL中的使用有着明显的区别,它们在处理传入数据的方式上有所不同,同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **#使用**...
Mybatis使用order by排序使用#无法正确执行的解决之#$区别
Mint6的博客
09-20 1万+
今天遇到一个问题,mysql数据库使用mybatis在mapper.xml写动态sql  order by无法正确使用,没有报错,看日志也是传入了值 后来自己修改order by传入的值,发现对sql没有影响,说明这个sql没有正确执行 首先sql是这样写的 order by #{ORDER_BY} 外部定义是 private static final String ORDER_B
MyBatisorder by排序无效的问题
早起的鸟儿有虫吃的博客
05-29 1072
使用MyBatis解析xml进行排序的时候,遇见排序无效的问题#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #{user_id},如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by "id" $将传入的数据直接显示生成在sql中。如:order by ${user_id},如果传入的值是111,那么解析成sql时的值为order by 111, 如果传入的值是id,则解析成的s
Mybatis动态order by 传参#$区别
qq_44739966的博客
11-11 821
${}字符串替换 #{}预编译,防止注入攻击 默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用ORDER BY ${columnName} 这里MyBatis不会修改或转义字符串。 重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或
MyBatis#{}${}的区别详解
qq_29700907的博客
06-19 524
mybatisibatis总体来讲都差不多的。下面小编给大家探讨下mybatis#{}${}的区别,感兴趣的朋友一起学习吧 最近在用mybatis,之前用过ibatis,总体来说差不多,不过还是遇到了不少问题,再次记录下. 先给大家介绍下MyBatis#{}${}的区别,具体介绍如下: 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id
Mybatis中xml配置文件order by字段注意事项
qq_56742368的博客
08-26 818
Mybatis中如果使用#符引用参数,会自动在参数值两端加引号,导致排序失效,因此Mybatis使用Order By时一定使用$符号!因为使用错误也不会报错,因此可能不容易发现。
mybatis#$区别
歪德的博客
09-02 867
最近研究myibatis 看到#$ 有的地方是#有的地方是$ 特地研究了一下这两个字符的区别 1.#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #username#,如果传入的值是9999,那么解析成sql时的值为order by "9999", 如果传入的值是name,则解析成的sql为order by "name". 2....
mybatisorderBy(排序字段)sort(排序方式)引起的bug
意田天的博客
07-23 1万+
引言: 记录一个mybatis实现动态字段的排序动态的升降序问题 实现效果如下: 1. 问题叙述: 在这里无论使用postman是否传递sort的值, 都不生效, postman 执行的sql日志 ==> Preparing: select sum(acd.read_view_count) as read_view_count,sum(acd.read_person_count) as read_person_count, sum(acd.like_count) as like_count,
Mybatis order by / group by 漏洞注入解决方案
心之所系的博客
05-27 3505
<if test="orderByClause != null and !(orderByClause.indexOf(';')>=0) and !(orderByClause.indexOf('\'')>=0)" > ORDER BY ${orderByClause} </if>
3. MyBatis #{}${}区别
最新发布
06-13
<think>我们正在讨论MyBatis#{}${}的区别使用场景。根据引用[1]、[2]、[3]、[4]、[5]的内容,可以总结如下:#{}${}都是MyBatis中用于动态传递参数的符号,但它们的工作机制安全性有本质区别:1.**处理机制不同**:-`#{}`:MyBatis会将SQL中的`#{}`替换为预编译语句中的占位符`?`,然后使用PreparedStatement的参数绑定机制来安全地设置值。这种方式会对传入的参数进行类型处理(如字符串类型会自动加单引号)并转义特殊字符,有效防止SQL注入攻击。-`${}`:MyBatis会直接将`${}`中的内容替换为参数的字符串值(不进行预编译处理)。如果参数是字符串类型,不会自动添加引号,所以需要手动添加单引号。这种方式是简单的字符串替换,存在SQL注入风险。2.**安全性差异**:-使用`#{}`时,由于参数会被预编译,因此可以防止SQL注入。例如,当传入参数为`a&#39;or&#39;1&#39;=&#39;1`时,使用`#{}`会转义单引号,变成`\&#39;`,从而避免非法查询。-使用`${}`时,如果参数值包含恶意SQL片段,会被直接拼接到SQL语句中执行,导致SQL注入风险。3.**适用场景**:-`#{}`适用于绝大多数场景,特别是作为查询条件值(WHERE子句中的值)、INSERT/UPDATE语句中的字段值等需要参数绑定的地方。-`${}`通常用于需要动态指定SQL语句非值部分的情况,例如:-动态排序字段(ORDERBY子句),如:`ORDERBY${columnName}[ASC|DESC]`(引用[1]、[2]、[4])-动态指定表名或列名(非值部分),如:`SELECT*FROM${tableName}`(引用[4])-动态SQL片段(如动态指定GROUPBY字段)4.**性能考虑**:-`#{}`生成的预编译语句可以被数据库缓存重用,提高执行效率。-`${}`每次都会生成新的SQL语句(因为内容可能变化),无法利用预编译缓存,性能略低。5.**使用细节**:-在`${}`中引用字符串类型参数时,需要在XML中手动添加单引号(如`&#39;${name}&#39;`),但这样仍然不安全(引用[5])。建议对用户输入进行严格过滤或避免使用。-在编写LIKE模糊查询时,推荐用`#{}`配合通配符处理(如`LIKECONCAT(&#39;%&#39;,#{keyword},&#39;%&#39;)`或代码中添加`%`),而不是用`${}`(引用[4])。###代码示例对比####安全用法(使用`#{}`)```xml<selectid="selectUser"resultType="User">SELECT*FROMusersWHEREname=#{name}ANDage=#{age}</select>```####动态排序(必须使用`${}`)```xml<selectid="selectUsersOrdered"resultType="User">SELECT*FROMusersORDERBY${orderColumn}${orderDirection}</select>```>⚠️注意:使用`${}`时,应确保参数值来自可信源(如后端枚举值),或进行严格校验。###总结|特性|`#{}`|`${}`||--------------|-------|------------||工作机制|预编译占位符|字符串替换||安全性|高(防注入)|低(有注入风险)||自动添加引号|是|否(需手动)||适用场景|参数值|动态SQL片段(表名/列名/排序)|因此,**在多数情况下优先使用`#{}`;仅当需要动态生成SQL关键字或标识符时(无法用预编译占位符代替),才谨慎使用`${}`**。§§相关问题§§1.如何安全地使用MyBatis动态表名?2.MyBatis中如何预防SQL注入?3.除了#{}${},MyBatis还有哪些动态SQL标签?</think> ### MyBatis中`#{}``${}`的区别使用场景 #### 一、核心区别 | **特性** | **`#{}`** | **`${}`** | |----------------|-------------------------------------|-------------------------------------| | **处理机制** | 预编译占位符 (`?`) | 字符串直接替换 | | **安全性** | 防止SQL注入(自动转义特殊字符)[^4] | 有SQL注入风险(原样拼接)[^3][^4] | | **引号处理** | 自动添加引号(如字符串类型) | 需手动添加引号(如`&#39;${value}&#39;`) | | **性能** | 预编译语句可复用 | 每次生成新SQL | #### 二、使用场景对比 1. **`#{}` 的适用场景** - **条件值传递**(WHERE子句): ```xml SELECT * FROM user WHERE name = #{name} ``` 编译后:`SELECT * FROM user WHERE name = ?`(安全)[^2][^3] - **LIKE模糊查询**(需配合通配符): ```xml SELECT * FROM user WHERE name LIKE CONCAT(&#39;%&#39;, #{keyword}, &#39;%&#39;) ``` - **INSERT/UPDATE操作**: ```xml INSERT INTO user (name, age) VALUES (#{name}, #{age}) ``` 2. **`${}` 的适用场景** - **动态排序字段**(ORDER BY): ```xml SELECT * FROM user ORDER BY ${orderField} ASC ``` *若用`#{}`会生成`ORDER BY &#39;name&#39;`(语法错误)* [^1][^4] - **动态表名/列名**: ```xml SELECT * FROM ${tableName} ``` - **固定SQL片段**: ```xml ${"LIMIT 10"} <!-- 直接拼接SQL关键字 --> ``` #### 三、安全性对比(SQL注入示例) ```xml <!-- 危险!传入 `name = "a&#39; OR &#39;1&#39;=&#39;1"` 会导致全部数据泄露 --> SELECT * FROM user WHERE name = &#39;${name}&#39; <!-- 安全!参数会被转义为: `a\&#39; OR \&#39;1\&#39;=\&#39;1` --> SELECT * FROM user WHERE name = #{name} ``` > 💡 **结论**:`${}`需要**严格校验输入**(如只允许枚举值),否则应避免使用[^4][^5]。 #### 四、性能影响 - `#{}` 生成的预编译语句可被**数据库缓存重用**,尤其在高并发时性能更优[^3] - `${}` 每次生成**全新SQL语句**,增加数据库解析开销 ### 最佳实践总结 1. **默认优先使用`#{}`**:适用于>95%的场景(值传递) 2. **谨慎使用`${}`**:仅用于**动态表名/列名、排序字段**等非值场景[^1][^4] 3. **防御措施**: - 对`${}`参数做**白名单校验**(如只允许特定字段名) - 避免直接拼接用户输入(如`ORDER BY ${userInput}`) ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值