mybatis的#{}和${}的区别以及order by注入问题

最新推荐文章于 2025-10-09 00:45:00 发布
转载 最新推荐文章于 2025-10-09 00:45:00 发布 · 489 阅读 · 0
文章标签:

#mybatis

时间 2015-04-03 12:28:00   博客园-Java
原文   http://www.cnblogs.com/chyu/p/4389701.html
主题  SQL

前言略,直奔主题..

#{}相当于jdbc中的preparedstatement

${}是输出变量的值

你可能说不明所以,不要紧我们看2段代码:

String sql = "select * from admin_domain_location order by ?";
PreparedStatement st = con.prepareStatement(sql);
st.setString(1, "domain_id");
System.out.println(st.toString());

ResultSet rs = st.executeQuery();

while(rs.next()){

System.out.println(rs.getString("domain_id"));

}

输出结果:

com.mysql.jdbc.PreparedStatement@1fa1ba1: select * from admin_domain_locationorder by 'domain_id'

3

4

5

2

6

这是个jdbc的preparedstatement例子,不要吐槽我这么写是否合法,这里只是为了说明问题.

以上例子有得出以下信息: 1) order by后面如果采用预编译的形式动态输入参数,那么实际插入的参数是一个字符串,例子中是:order by  'domain_id'

2)输出结果并没有排序,从sql语句中的形式我们也可以推测出此sql语句根本也不合法(正常应该是 order by domain_id )

修改以上代码如下:

String input = "domain_id";
String sql = "select * from admin_domain_location order by "+input;
PreparedStatement st = con.prepareStatement(sql);
System.out.println(st.toString());
ResultSet rs = st.executeQuery();
while(rs.next()){
    System.out.println(rs.getString("domain_id"));
}
输出结果:

com.mysql.jdbc.PreparedStatement@1fa1ba1: select * from admin_domain_locationorder by domain_id

2

3

4

5

6

此次我们直接把一个变量的值拼接sql语句,从结果可以看出来:

1)sql语句拼接正常

2)查询结果排序正常

你可能要问这和#{}与${}有什么关系..

上面已经说过#{}相当于jdbc的preparedstatement,所以以上的第一个例子就相当于#{},那么第二个例子就自然而然指的是${}的情况.

你可能说思维还是有些凌乱,不要紧我们来看第三个例子:

String sql = "select * from admin_domain_location where domain_id=?";
PreparedStatement st = con.prepareStatement(sql);
st.setString(1, "2");
System.out.println(st.toString());
ResultSet rs = st.executeQuery();
while(rs.next()){
  System.out.println(rs.getString("domain_id"));
}
=======================================
String input = "2";
String sql = "select * from admin_domain_location where domain_id='"+input+"'";
PreparedStatement st = con.prepareStatement(sql);
System.out.println(st.toString());
ResultSet rs = st.executeQuery();
while(rs.next()){
  System.out.println(rs.getString("domain_id"));
}
输出结果都为:
com.mysql.jdbc.PreparedStatement@12bf560: select * from admin_domain_location where domain_id='2'
2

这第三个例子虽然说的是#{}和${}通用的问题,也就是说在此种情况下#{}和${}是通用的,只不过需要些小的转换.如例子中需要手动

拼接单引号 ' ' 到变量值的前后,确保sql语句正常.

简单说#{}是经过预编译的,是安全的,而${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在sql注入.

这里先说一下只能${}的情况,从我们前面的例子中也能看出,order by是肯定只能用${}了,用#{}会多个' '导致sql语句失效.此外还有一个like 语句后也需要用${},简单想一下

就能明白.由于${}仅仅是简单的取值,所以以前sql注入的方法适用此处,如果我们order by语句后用了${},那么不做任何处理的时候是存在sql注入危险的.你说怎么防止,那我只

能悲惨的告诉你,你得手动处理过滤一下输入的内容,如判断一下输入的参数的长度是否正常(注入语句一般很长),更精确写查询一下输入的参数是否在预期的参数集合中..


mybatis#$使用区别
学无止境
02-27 1225
mybatis#$使用区别
mybatis #{} 以及 ${}
热门推荐
minzhang001的博客
10-23 1万+
动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 在下面的语句中,如果 username 的值为 zhangsan,则两种方式无任何区别:select * from user where name = #{name
MyBatis#{} ${} 的区别
liuyuinsdu的专栏
03-12 1491
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS中 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
MyBatis#{} 的详细解析与底层原理
最新发布
weixin_51288065的博客
10-09 779
MyBatis#{} 的详细解析与底层原理
mybatis #{} ${}
weixin_47967397的博客
02-19 180
order by 后面必须用$ order by ${} ${}
Mybatis下的sql注入
weixin_30648587的博客
12-07 121
以前只知道mybatis框架下,order by后面接的是列名是不能用#{},这样不起效果,只能用${},这样的话就可能产生sql注入。后来发现其实还有另外两种情况也是类似的: 1.order by ${} asc 像这种情况最好的办法是在java层面上做映射,比如说用户只能输入1-5,然后在代码层面将其映射为字段名,然后再使用${} 2. Select * from news where...
18.<Mybatis补充($#区别+数据库连接池)>
m0_73456341的博客
10-23 2096
详解了 1.$#区别 2.数据库连接池。 3.简单了解MySQL企业开发规范
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis中的#$区别
09-02
MyBatis中,`#``$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
浅谈mybatis中的#$区别 以及防止sql注入的方法
09-01
MyBatis中,`#``$`在动态SQL中的使用有着明显的区别,它们在处理传入数据的方式上有所不同,同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
Mybatis_day2_Mybatis的CRUD操作
学习笔记
03-09 358
Mybatis根据动态代理实现CRUD操作 使用要求: 持久层接口(UserDao)持久层接口的映射配置必须在相同的包下 持久层映射配置中 mapper 标签的 namespace 属性取值必须是持久层接口的全限定类名 SQL 语句的配置标签<select>,<insert>,<delete>,<update>的 id 属性必须持久层接口的...
MyBatis#{} ${}
llt2997632602的博客
01-27 855
MyBatis是一种用于Java语言的持久层框架,它简化了数据库操作的过程。在MyBatis中,我们经常会看到两种不同的参数占位符语法:#{}${}。虽然它们看起来相似,但在使用处理上却有一些重要的区别。本文将深入解析这两种占位符的使用场景特点。
mybatis#{}与${}
妖月风的专栏
05-11 437
#{}实现的是向 prepareStatement 中的预处理语句中设置参数值,sql语句中#{}表示一个占位符即?。 ${}是将参数值不加修饰的拼在sql中,相当中用jdbc的statement拼接sql,使用${}不能防止sql注入,但是有时用${}会非常方便。 使用占位符#{}可以有效防止sql注入,在使用时不需要关心参数值的类型,mybatis会根据参数值的类型调用不同的s
mybatis#{}于${}
指尖艺术的博客
02-26 394
#{}相当于一个预编译中的 ‘?’ 参数占位符,并在Sql解析时将形参值取出,自动加上引号 示例:现有实参为 username = "jojo" ..... <select id="findUserByName" parameterType="string" resultType="com.demo.domain.User"> select * from user where username = #{username} </select> ..... 相当于预编
mybatis中的#{}${}
submorino的专栏
11-25 2581
mybatis中的#{}${} 1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}${}的区别 (1)   1)#{}为参数占位符?,即sql 预编译   2)${}为字符串替换,即sql 拼接 (2)   1)#{}:动态解析 ->预编译-> 执行   2)${}:动态解析 ->编译-> 执行 (3)   1)#{}的变量替换是在DBMS中   2)${}...
mybatis中 的 #{} 与 ${}
az44yao的专栏
07-10 801
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式:(1)#{} 占位符(2)${} 拼接符2、#{} ${} 的区别(1)1)#{} 为参数占位符 ?,即sql 预编译 2)${} 为字符串替换,即 sql 拼接(2)1)#{}:动态解析 -> 预编译 -> 执行 2)${}:动态解析 -> 编译 -> 执行(3)1)#{} 的变量替换是在DBMS 中 2)${} 的变量替换是在 DBMS 外(4)1)变量替换后,#{} 对应的变量自动加上单引号 ‘’ 2)变量替换后,${} 对应的变量不
MyBatis中的#{} ${}
2301_76161469的博客
05-02 1176
由于 ${} 存在 SQL注入问题,因此,在能够使用 #{} 的情况下,我们尽可能选择使用 #{},而在需要使用 ${} 时,我们需要对用户输入的数据进行验证,确保其符合预期的格式范围。当使用 ${} 时,由于没有对用户输入进行充分检查,而SQL又是拼接而成的,在用户输入参数时,在参数中添加一些 SQL关键字,达到改变SQL运行结果的目的,也可以完成恶意攻击。当使用 ${} 时,由于参数直接拼接在SQL语句中,而字符串作为参数时需要添加 '',而 ${} 不会拼接'',因此程序报错。
MyBatis】参数占位符 #{} ${}
关关的博客
05-22 1638
#{}${}区别详解
MyBatis中的${}#{}
小景的博客
06-28 679
${}、#{}的使用举例: 后端Controller @RequestMapping(value = "/getStatisticsData", method = RequestMethod.GET, produces = "application/json;charset=utf8") public List<SearchResult> getStatisticsData(Long startTime, Long endTime, String argu) { Lis...
MyBatis#$区别是什么?在实际开 发中应如何选择?
06-17
### MyBatis#$区别及实际开发中的选择策略 #### 1. #$的基本概念 在MyBatis中,`#``$`是两种不同的参数替换方式。`#{}`会被MyBatis处理为一个占位符,实际SQL会变为带有`?`的形式,并且参数值会被绑定到占位符上[^4]。这种方式可以有效防止SQL注入攻击。而`${}`则是直接将变量的值插入到SQL语句中,不会进行任何转义或预处理[^1]。 #### 2. 安全性对比 使用`#{}`时,MyBatis会生成PreparedStatement中的占位符`?`,并设置相应的参数值。这种方式是安全的,因为它可以有效防止SQL注入攻击[^5]。例如: ```sql <select id="getUserById" parameterType="int" resultType="User"> SELECT * FROM users WHERE id = #{id} </select> ``` 上述代码中,`#{id}`会被替换为`?`,并且`id`的值会被安全地绑定到SQL语句中。 相比之下,`${}`会直接将变量的值插入到SQL语句中,不经过任何转义处理。这种方式存在SQL注入的风险,因此需要谨慎使用[^2]。例如: ```sql <select id="getUsersByOrder" parameterType="map" resultType="User"> SELECT * FROM users ORDER BY ${orderColumn} </select> ``` 如果`orderColumn`的值是由用户输入的,则可能会导致SQL注入攻击[^3]。 #### 3. 使用场景对比 - **`#{}`的适用场景**:适用于所有类型的参数,包括基本数据类型、字符串、集合、对象等。它适合用于需要传递动态参数但不需要直接拼接SQL的场景。 - **`${}`的适用场景**:适用于需要动态拼接SQL的场景,例如表名、列名或排序字段等。由于其安全性较低,必须确保传入的值是可信的,避免SQL注入风险。 #### 4. 性能对比 从性能角度来看,`#{}``${}`没有本质区别。但由于`#{}`通过PreparedStatement实现,数据库可以缓存执行计划,因此在多次执行相同SQL时,`#{}`可能会稍微优于`${}`[^4]。 #### 5. 实际开发中的选择策略 在实际开发中,应优先使用`#{}`以确保SQL的安全性。只有在确实需要动态拼接SQL(如表名、列名)时才使用`${}`,并且必须对传入的值进行严格的校验过滤[^3]。例如: ```sql <select id="dynamicTableQuery" parameterType="map" resultType="User"> SELECT * FROM ${tableName} WHERE id = #{id} </select> ``` 上述代码中,`tableName`的值必须是经过验证的可信值,而`id`则通过`#{}`安全地绑定到SQL语句中[^2]。 #### 注意事项 - 在使用`${}`时,务必确保传入的值是可控的,避免因用户输入导致的安全问题。 - 对于复杂的SQL查询,可以结合使用`<if>`、`<where>`等动态SQL标签,减少直接拼接SQL的需求[^1]。 ### 示例代码 以下是一个结合`#{}``${}`的示例: ```sql <select id="queryUsers" parameterType="map" resultType="User"> SELECT * FROM ${tableName} <where> <if test="name != null"> AND name = #{name} </if> <if test="age != null"> AND age = #{age} </if> </where> ORDER BY ${orderBy} </select> ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值