mybatis #与$的区别

最新推荐文章于 2024-10-23 17:13:11 发布
原创 最新推荐文章于 2024-10-23 17:13:11 发布 · 162 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨SQL预编译机制如何有效防止SQL注入,对比#{}

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前提知识点。

1、预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。

2、SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。

而预编译机制则可以很好的防止SQL注入。

3、Concat返回结果为连接参数产生的字符串。如有任何一个参数为NULL ,则返回值为 NULL。

mysql> select concat('11','22','33');
| 112233 |
mysql> select concat('11','22',null);
| NULL   | 

功能原理:

mybatis提供#{value}与${value}这2种方式的动态传参。其具体工作原理如下:

1、在sql中解析时候

   #传入的参数在SQL中显示为字符串

     eg:select id,name,age from student where id =#{id},

当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'.

  $传入的参数在SqL中直接显示为传入的值

    eg:select id,name,age from student where id =${id},

当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id = 1.

2、在预编译阶段

   #{ } 被替换为一个参数占位符 ?。

   ${}: 仅仅为一个纯碎的 string 替换,就是把${}替换成变量的值。

因此易发生sql注入

eg:select * from ${tableName} 若tableName为user; delete user; --,则 直接执行删除操作。

#{}在一定程度上可以防止sql注入。

3、试用情况 

            #{}方式一般用于传入字段值,并将该值作为字符串加到执行sql中,一定程度防止sql注入;

           ${}方式一般用于传入数据库对象,例如传入表名,不能防止sql注入,存在风险。

           模糊查询中,使用$.

             若使用#:select * from reason_detail where reason_en like '%#{reason}%',会解析为like '%' reason '%'(报错Parameter index out of range (2> number of parameters, which is 1). ,'%'为一个条件了)

           传入order by 后边的参数使用$。

4、替代方法

可以使用concat将字符串连接起来为一个字符串,不同的数据库还有不同的处理方法。

 

jiashanshan521
关注
mybatis,#$区别
Top5软件工程硕士,先后在京东、字节从事多年Java后端开发、实时和离线大数据开发
10-29 808
别人老说?不编译#编译,一直稀里糊涂的,不如自己试一下,其实说白了就是#是否编译成?再用传入的参数代替。其实把这些原理用很通俗的语言说给一个新手听,反而说明自己也理解了,而不是一直跟新手说区别就是是否编译...... --正确 WeatherPO weatherPO = weatherDao.queryByAreaIdAndAreaName("101101001", "忻州"); <se...
mybatis中的#$区别
热门推荐
kobi521的专栏
11-25 11万+
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的
mybatis#{} 和 ${}
即客星球的博客
12-19 467
简介: mybatis#$ 两种输出参数的符号,他们之间是有一些不一样的使用场景.. 首先来看一下啊 sql 语句 1 sql 语句 (1)使用 ${} sql select * from user u where u.name = '${name}' select * from user u where u.name = 'test' ${} 是直接填充值 (2)#{} ...
mybatis # $ 区别
hello__word__的博客
10-15 500
#{}: 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符 。    ${}: 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。   name-->cy  eg:  select id,name,age from student where name=#{name}   -- name
Mybatis#$区别
伏颜的博客
07-11 2万+
Mybatis#$区别
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #$区别 在...
Mybatis#{}和${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Mybatis下动态sql中##$$区别讲解
08-26
Mybatis下动态sql中##$$区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis中,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis中,使用...
MyBatis#$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 1910
#{}和${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
浅谈mybatis中的#$区别
09-02
MyBatis中,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
MyBatis——谈谈占位符(#$)的理解使用
贝尔摩德苦艾酒
03-02 3万+
MyBatis——谈谈占位符(#$)的理解使用
Mybatis中的$#
sillyyyy的博客
05-08 2758
在SQL语句执行时,Mybatis会将$占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用$占位符可以在某些情况下提高SQL语句的性能,因为在预编译时不需要处理参数占位符。#用于预编译,表示参数占位符,例如:#{username}。在SQL语句执行时,Mybatis会将占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用#占位符可以有效地防止SQL注入攻击,因为Mybatis会将参数值转义后再替换占位符。使用哪种占位符取决于具体的需求,如果需要防止SQL注入攻击,则应该使用#占位符;
Mybatis】深度解析MyBatis#$的差异
AliceNo的博客
01-03 2004
MyBatis中,SQL语句的构建是一个关键的环节,而参数的传递则是其中一个重要的考虑因素。在MyBatis中,我们通常使用和两种不同的参数替换方式。这两种方式在SQL语句的执行中有着不同的作用和安全性考虑。在本文中,我们将深入探讨和的区别,以及它们在实际应用中的使用场景和注意事项。在MyBatis中选择合适的参数替换方式对于应用程序的性能和安全性至关重要。提供了一种预编译的方式,有效防范了SQL注入攻击,是一个更为安全的选择。而则是直接将参数值拼接到SQL语句中,需要谨慎使用以防止潜在的安全风险。
MyBatis学习笔记4 #$区别
yangzhe19931117的博客
01-04 259
MyBatis学习笔记4 #$区别
一文解惑mybatis中的#{}和${}
一个菜鸡的博客
07-19 6152
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
彻底搞懂MyBaits中#{}和${}的区别
緑水長流*z
07-11 3万+
MyBatis的`#{}`之所以能够预防SQL注入是因为底层使用了`PreparedStatement`类的`setString()`方法来设置参数,此方法会获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则会在前面加上一个`'/'`代表转义此符号,让其变为一个普通的字符串,不参SQL语句的生成,达到防止SQL注入的效果。 **其次`${}`本身设计的初衷就是为了参SQL语句的语法生成**,自然而然会导致SQL注入的问题(不会考虑字符过滤问题)。
18.<Mybatis补充($#区别+数据库连接池)>
最新发布
m0_73456341的博客
10-23 1951
详解了 1.$#区别 2.数据库连接池。 3.简单了解MySQL企业开发规范
关于Mybatis$#,你真的知道他们的细节吗?
chutan5573的博客
07-09 494
前言 在JDBC中,主要使用的是两种语句,一种是支持参数化和预编译的PrepareStatement,能够支持原生的Sql,也支持设置占位符的方式,参数化输入的参数,防止Sql注入,一种是支持原生Sql的Statement,有Sql注入的风险。 在使用Mybatis进行开发过程中,隐藏了底层具...
MyBatis #$区别以及动态SQL
qiuqiushuibx的博客
04-03 964
mybatis 基础
MyBatis #$区别
03-31
MyBatis是一种Java持久化框架,它为开发人员提供了一种优雅的方式来访问关系数据库。它将Java对象映射到数据库表中的行,并提供了一种使用XML或注解来编写可重用SQL语句的方法。MyBatis还提供了许多高级功能,如延迟...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值