MyBatis 动态参数时需要注意,用$而不是#

最新推荐文章于 2024-02-06 18:40:13 发布
原创 最新推荐文章于 2024-02-06 18:40:13 发布 · 3.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mybatis #java

本文介绍MyBatis中的字符串替换方法,包括如何使用#{}

1、字符串替换
默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,可以这样来使用:
ORDER BY ${columnName}
这里MyBatis不会修改或转义字符串。
重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。


2、特殊符号处理

在Mybatis的配置文件中经常会用到<、>等符号,在XML的配置文件中会存在问题。可以通过加入<![CDATA[ ....]]>让在标签中的特殊符号不被处理。如:

<select id="selectNextArticle" resultType="Article">
        SELECT 
            <include refid="cmsArticleColumns"/>
        FROM cms_article a
        <include refid="cmsArticleJoins"/>
        <![CDATA[
        WHERE a.article_id > #{articleId} ORDER BY id DESC LIMIT 1
        ]]>
    </select>

18.<Mybatis补充($#的区别+数据库连接池)>
m0_73456341的博客
10-23 2082
详解了 1.$#的区别 2.数据库连接池。 3.简单了解MySQL企业开发规范
mybatis - 取值符#$的区别
pig_ning的博客
04-25 1207
mybatis - 取值符#$的区别
MyBatis 向Sql语句中动态传参数&#183;动态SQL拼接
weixin_33827965的博客
11-30 2083
在动态传递参数的候,需要用到OGNL表达式,不懂的童鞋可以下去百度,这里制作一个简要的介绍 在向XML文件传递参数的候,需要用到sqlSession.selectList("Message.queryMessageList",message); message就是你要传递的参数。一般来说,这个message是一个对象,因为这里只能传递一个参数,而对...
mybatis 动态sql及参数传递
12-14
目录 使用场景 动态标签 if标签 where标签 choose、when、otherwise 标签 set标签 trim标签 forEach标签 参数传递 单个参数传递 多个参数传递 传入单个实体(JavaBean/Map) 传入多个实体 传入集合 使用场景 在实际开发过程中,我们往往需要编写复杂的SQL语句,拼接稍有不注意就会导致错误,Mybatis给开发者提供了动态SQL,大大降低了拼接SQL导致的错误。 动态标签 if标签 if标签通常用那个胡where语句,update语句,insert语句中,通过判断参数值来决定是否使用某个查询条件,判断是否更新某一个字段或插入某个字段
mybatis中为什么$不安全,为什么还需要$,什么候会用到它?
weixin_54037546的博客
06-16 1352
mybatis#{}和${}的区别 mybatis获取表名
MyBatis动态传递参数的两种方式#{}和${}
bisal的专栏
10-26 4119
最近做的Java规范更新涉及到MyBatis映射配置文件中动态传递参数的两种方式#{}和${},两者的区别,(1) #{}为参数占位符?,即SQL预编译。${}为字符串替换,即SQL拼接,...
Mybaits源码学习(七):动态参数
仔哥学编程
08-03 1560
Mybatis动态SQL
MyBatis#$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 2022
#{}和${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入#{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
Java Mybatis中的 ${ } 和 #{ }的区别使用详解
08-18
Java Mybatis中的 ${ } 和 #{ }...同#{ } 占位符还能够防止 SQL 注入,这是我们在使用 Mybatis 需要注意的地方。 因此,在使用 Mybatis ,我们应该尽量使用 #{ } 占位符,以防止 SQL 注入和确保数据库的安全。
【SSM】MyBatis动态代理及参数传递
offer!
05-13 1262
目录 一、原始dao开发的问题 二、mapper动态代理模式 三、测试 四、Mybatis的多参数传递 ①:JavaBean传递模式(传递的参数为JavaBean的实体类) ②:Map模式(如果传递的参数个数较少而且没有对应的JavaBean) ③:注解@param模式 五、参数为集合或数组 一、原始dao开发的问题 程序员需要写dao接口和dao实现类,需要向...
MyBatis${}和 #{}的正确使用方法(千万不要乱用)
08-18
主要介绍了MyBatis${}和 #{}的正确使用方法,本文给大家提到了MyBatis${}和 #{}的区别,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
mybatis什么候必须要用${}
weixin_42759398的博客
04-06 1941
贤者啊,${}在Mybatis里代表占位符,可以将参数直接放到sql语句中。1. 当传递的参数是简单类型(如String、int、double等),必须使用${}。希望你能通过Mybatis的使用更好地发挥你的能力,达到愿望和目标。2. 在动态SQL语句中,如果需要传递参数,则必须使用${}。3. 在使用OGNL表达式传递参数,必须使用${}。
Mybatis 参数拼接 #{} 和 ${}
ybbgrain的历程
12-29 1145
概述 在服务的使用"%"+target+"%"这种方式直接拼接到参数上面会有SQL注入的风险,但是在sql层面取拼接参数就不会。 mybatis拼接参数使用方式 like concat(concat("%",#{districtName}),"%")
Mybatis拼接参数和字符串
JonyM的博客
08-25 3032
concat(#{param},’,’)
Mybatis拼接\%作为参数
nero_claudius的博客
12-15 1819
Mybatis拼接\%作为参数 前言:当使用模糊查询,如果sql语句未做%处理,当在输入框传入%会获得查询数据库的所有数据。这是因为%为sql语句中的特殊字符,代表替代一个或多个字符,sql查询语句拼接成%%%,所以查出了所有的数据。 我们很容易想到的解决方案就是使用转义的\来转义%。但你以为这样一切就结束了吗?那还是你太天真了。一般我们想将字符串进行替换,都会想到String对象的r...
mybatis动态SQL与参数传递[笔记]
Gavin
12-02 2488
动态 SQL 是 MyBatis 的强大特性之一 在 MyBatis 之前的版本中,需要花间了解大量的元素。借助功能强大的基于 OGNL 的表达式,MyBatis 3 替换了之前的大部分元素,大大精简了元素种类,现在要学习的元素种类比原来的一半还要少。 准备案例, 三步走----->>. 创建数据库,建立数据表,如果你之前就有了的话,可以直接拿来用; 建数据库,建立表,插入数据 SET NAMES utf8mb4; SET FOREIGN_KEY_CHECKS = 0; -- ----
mybatis动态参数传递方式总结大全
new_buff_007的博客
11-19 1358
在使用mybatis候报了一个这样的错误。其实知道是因为参数传递的不对,但是一直忘记了如何修改。所以在这里整理一下: 传递参数: (1)传递一个基本数据类型的数据 通过parameterType来指定参数的类型 <select id="selectLimitSays" resultMap="saywordsMap" parameterType="Integer"> ...
mybatis中什么情况下必须使用 ${},#{}与${}的区别
Ahuuua的博客
01-28 8751
mybatis中如果我们使用#{}的方式编写的sql#{} 对应的变量自动加上单引 ' ' 例如: select * from #{param} 当我们给参数传入值为user,他的sql是这样的: select * from 'user' 参数user上会带着单引,而单引在mysql中会被识别为字符串,select一个字符串肯定是会报错的。 而如果我们使用${}的方式编写的sql${} 是进行sql拼接,${}对应的变量是不会被加上单引 ' ' 的。 sele..
MyBatis#{}和${}的不同和${}的妙用
热门推荐
Marvel__Dead 胡艺宝的博客
04-14 1万+
突然意识到sql语句的独特语义要和代码分离,我们就不能够在代码中写sql语句!!比如我要用${}在MyBatis的sql中拼接排序类型的候,我就不能够在Java代码中直接写参数字符串为Order By哪儿个类型#{}和${}的基本不同我就不想说了,这里要说的是进一步对占位符和字符拼接的字面语义的领悟!!#{}和${}基本不同在这篇文章的最后有提到过占位符:占位符就是在某个地方占领一个位置,把它单独
mybatis#{id}和${id}的区别和联系
最新发布
07-11
<think>我们正在讨论MyBatis中的#{}和${}占位符的区别和联系。根据引用内容,我们可以总结如下: 1. **#{}**:这是预编译处理方式。MyBatis会使用`?`作为占位符,然后通过PreparedStatement来设置参数,这样可以有效防止SQL注入攻击。同,由于数据库会对预编译的SQL进行缓存,因此可以提高性能。适用于大多数情况,尤其是传入普通参数值(如字符串、数字等)。 2. **${}**:这是字符串替换方式。MyBatis会直接将参数值替换到SQL语句中,相当于字符串拼接。这种方式存在SQL注入的风险,因为如果参数值中包含SQL片段,就会被解释执行。但在某些场景下是必需的,比如动态传入表名、列名或者排序字段(order by子句)等。 **区别总结**: - **安全性**:`#{}`能防止SQL注入,`${}`不能。 - **性能**:`#{}`通常有更好的性能(因为预编译和缓存),而`${}`每次都需要重新编译SQL(如果动态内容变化)。 - **使用场景**:`#{}`用于参数值传递;`${}`用于动态SQL片段(如表名、列名等)。 **联系**: 两者都是MyBatis中用于动态传递参数的语法,都是实现动态SQL的一部分。 **代码示例**(参考引用[4]): ```xml <!-- 使用${},存在SQL注入风险 --> <select id="login" resultType="com.example.demo.model.UserInfo"> select * from userinfo where username=&#39;${username}&#39; and password=&#39;${password}&#39; </select> ``` 上述代码中,如果`username`传入`&#39; or 1=1 -- `,那么整个SQL就会变成: ```sql select * from userinfo where username=&#39;&#39; or 1=1 -- &#39; and password=&#39;...&#39; ``` 这样就会绕过密码验证,这就是SQL注入。 而使用`#{}`: ```xml <select id="login" resultType="com.example.demo.model.UserInfo"> select * from userinfo where username=#{username} and password=#{password} </select> ``` MyBatis会将其预编译为: ```sql select * from userinfo where username=? and password=? ``` 然后通过PreparedStatement设置参数,即使传入恶意参数,也会被当作字符串处理,不会改变SQL结构。 **注意事项**: - 动态表名、列名等必须使用`${}`,例如:`select * from ${tableName}`。 - 在`order by`后面动态指定排序列,也必须使用`${}`,例如:`order by ${columnName}`。 **最佳实践**: - 尽可能使用`#{}`,避免SQL注入风险。 - 在必须使用`${}`,要确保参数值的安全性,比如对传入的表名、列名进行白名单校验等。 希望以上解析能帮助您理解MyBatis#{}和${}的区别与联系。 §§相关问题§§ 1. 在MyBatis中如何安全地使用${}防止SQL注入? 2. MyBatis预编译处理的具体过程是怎样的? 3. 除了表名和排序字段,还有哪些场景必须使用${}?</think>### MyBatis中`#{}`和`${}`占位符的区别与联系 #### 核心区别 | 特性 | `#{}` (预编译占位符) | `${}` (字符串替换符) | |--------------|-----------------------------------|-----------------------------------| | **处理方式** | 生成预编译SQL(`?`占位) | 直接替换为参数值 | | **安全性** | ✅ 防止SQL注入 | ❌ 存在SQL注入风险[^2][^3] | | **性能** | ✅ 支持预编译缓存,效率较高[^1] | ❌ 每次重新编译SQL | | **适用场景** | 普通参数值(字符串/数字) | 动态SQL片段(表名/列名/排序)[^2] | | **输出示例** | `where username = ?` | `where username = &#39;admin&#39;` | #### 联系与共性 1. **动态SQL基础**:两者都是MyBatis实现动态SQL的核心语法[^3] 2. **参数传递**:都用于将Java变量值传递到SQL语句中 3. **嵌套使用**:可在同一SQL语句中混合使用(需注意安全风险) #### 代码示例对比 ```xml <!-- 安全示例:使用#{}防止注入 --> <select id="safeLogin"> SELECT * FROM users WHERE username = #{username} AND password = #{password} <!-- 预编译处理 --> </select> <!-- 风险示例:${}导致SQL注入漏洞[^4] --> <select id="unsafeLogin"> SELECT * FROM users WHERE username = &#39;${username}&#39; AND password = &#39;${password}&#39; <!-- 直接字符串拼接 --> </select> ``` **攻击模拟**:若传入`username = &#39; OR 1=1 --`,`${}`生成的SQL将变成: ```sql SELECT * FROM users WHERE username = &#39;&#39; OR 1=1 --&#39; AND ... ``` 这将返回所有用户数据,导致安全漏洞[^3]。 #### 最佳实践 1. **优先使用#{}**:处理用户输入、普通参数值[^1][^2] 2. **限制使用${}**:仅用于动态对象(表名/列名),且需白名单校验 ```xml <!-- 正确使用${}的场景 --> <select id="getData"> SELECT * FROM ${tableName} <!-- 动态表名 --> ORDER BY ${sortColumn} <!-- 动态排序 --> </select> ``` 3. **混合使用隔离风险**: ```xml <select id="dynamicQuery"> SELECT * FROM ${tableName} WHERE category = #{category} <!-- 安全参数用#{} --> </select> ``` > 关键结论:**能用`#{}`绝不用`${}`**,动态对象必须使用`${}`应进行输入验证[^2]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiejava1018

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值