Mybatis中的#{}与${}区别以及什么是SQL注入

最新推荐文章于 2025-11-19 08:45:00 发布
原创 最新推荐文章于 2025-11-19 08:45:00 发布 · 3k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Mybatis#{}与${} ##{}与${} #SQL注入

今天搞懂了一个问题,就是在使用Mybatis时#{}与${}到底有什么区别?原来也看过别人的博客,感觉总是迷迷糊糊(原谅我是菜鸟),今天把这个问题整理了一遍,水平有限,各位大佬如果发现错误的地方请指正

1,首先Mybatis中的#{}与${}到底有什么区别?

其实,区别就是如果使用#{},会将{}里面的传入的值自动解析成为带引号的值,比如:

select count(1) from t_user where user_name = #{userName} and user_password  = #{userPassword}

假如,此时传入userName传入的值为admin,userPassword传入的值为123456,那么最后的sql就是:

select count(1) from t_user where user_name = 'admin' and user_password  = '123456';

会解析成字符串,而${}就会这样解析:

select count(1) from t_user where user_name = admin and user_password  = 123456;

显然,这是一个错误的sql语句,那么,什么叫SQL注入呢?为什么#{}可以有效的防止sql注入呢?

2,什么是SQL注入?

SQL注入就是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库执行一些恶意的操作

比如说,在登录过程中,利用上面的语句到数据库中查找用户名/密码是否存在,如果存在就登录成功

而如果不存在就登录失败,如果说你后台使用的是${},恶意用户在表单中的用户名文本框中输入的是'admin'

密码框中输入的是' ' or 1 = 1 加了一引号和一个恒成立的条件,那么,传到数据库中的sql就是:

select count(1) from t_user where user_name = 'admin' and user_password = ' ' or 1=1

如果程序没有做其他的校验,此时,该恶意用户是可以登录系统的! 这就是SQL注入,恶意攻击

而如果使用#{}是不会出现这种情况的,#{}默认会给输入的值加上引号,但是使用#{}在其他场景下并不适用

比如要使用到排序 order by #{} 传入的参数应是表对应字段名,但是加上引号后就会解析成

order by 'age' 这样就达不到排序的目的,而此时如果使用${}就可以达到排序的目的

即,sql解析成 order by age,根据age排序




只是了解皮毛,欢迎大佬们指教!



MyBatis#$符的区别sql注入问题,动态sql语句
m0_73381672的博客
02-06 2054
#{}和${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
【编程基础知识】Mybatis#$两种参数替换符合有啥区别
Dylaniou的博客
09-09 410
Mybatis#$两种参数替换符合有啥区别
Mybatis中的${}和#{}区别
m0_62520968的博客
05-10 1547
一、${}#{}的区别 1、符号类型 (1)#{}:参数占位符,即预编译 (2)${} :字符串替换符,即SQL拼接 2、防注入问题 (1)#{}:很大程度上能防止sql 注入 (2)${}:不能防止sql 注入 3、参数替换位置 DBMS:数据库管理系统(Database Management System)是一种操纵和管理数据库的大型软件,是用于建立、使用和维护数据库,简称DBMS。它对数据库进行统一的管理和控制,以保证数据库的安全性和完整性。用户通过DBMS访问数据库中的数据,数据库管理员也通
浅谈mybatis中的#$区别 以及防止sql注入的方法
09-01
下面小编就为大家带来一篇浅谈mybatis中的#$区别 以及防止sql注入的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Mybatis:详细学习笔记
weixin_46619605的博客
11-19 630
Mybatis:详细学习笔记
MyBatis${}和 #{}的正确使用方法(千万不要乱用)
08-18
主要介绍了MyBatis${}和 #{}的正确使用方法,本文给大家提到了MyBatis${}和 #{}的区别,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
MyBatis#{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1492
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS中 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
mybatis#$区别sql注入问题
weixin_44130574的博客
08-26 303
mybatis#$区别 推荐能使用#就不要使用 $ #{ } 1.相当于JDBC中的PreparedStatement ,是经过预编译的,安全 2.会为参数自动拼接引号 3.执行sql效果 select * from user where uid="1" and username="cathy" ${ } 1.相当于JDBC中的Statement ,未经过预编译,非安全,存在sql注入危险 2.并不会给参数自动拼接引号 3.执行sql效果 select * from user where uid
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #$区别 在...
MyBatis#$区别
你只管努力,
11-25 465
1.#是占位符。 $是用来拼接字符,虽然也是占位但是做不了字符的转换。#自动转换 日常报标识符无效的异常 2.#直接获取属性名称 $首先去获取properties文件的属性名称,没有的话再去对象或者参数中找。 3.#占位符 $拼接字符串,容易出现SQL注入。 为什么要引入$符号? 因为当数据库非常大的时候需要进行分库和分表, 数据量大的时候#无法处理 这时候就需要$来处理了。传...
mybatis中的#{}和${}
submorino的专栏
11-25 2582
mybatis中的#{}和${} 1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1)   1)#{}为参数占位符?,即sql 预编译   2)${}为字符串替换,即sql 拼接 (2)   1)#{}:动态解析 ->预编译-> 执行   2)${}:动态解析 ->编译-> 执行 (3)   1)#{}的变量替换是在DBMS中   2)${}...
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
Mybatis -- #{} ${}
qq_39273039的博客
08-14 1297
Mybatis的Mapper.xml语句中parameterType向SQL语句传参有两种方式: #{} 和 ${} #{} 一般解说是因为这种方式可以防止SQL注入,简单的说#{}这种方式SQL语句是经过预编译的,它是把#{}中间的参数转义成字符串 select * from student where student_name = #{name} 预编译后,会动态解析成一个参数标记符?: select * from student where student_name = ? ${} 在动态解析时
一文解惑mybatis中的#{}和${}
一个菜鸡的博客
07-19 6271
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
mybatis获取参数时 #{ }和${ }的区别
HC_JAVA崽
05-19 287
mybatis操作数据库的时候,往往会出现参数获取不到,或者报异常的问题 #{ } 和 ${ } 的区别 (1) ${ } :底层其实是statement,必须是使用 “字符串拼接” 的方式操作sql,所以,一定要注意 “单引号” 的使用。并且,不会防止 “sql注入” (2) #{ }:底层是preparedStatement,可以使用 “通配符” 操作sql,可以自动添加 “单引号”,不需要注意单引号问题。可以防止 “sql注入”。 获取参数的区别 (1) 如果传进的参数是 string、基本
myBatis#{}和${}传参的区别
一天过去不会再来
04-19 919
#{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #{id},如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”。${}将传入的数据直接显示生成在sql中。如:order by ${id},如果传入的值是111,那么解析成sql时的值为order by 111, 如果...
Mybatis面试题:什么是SQL注入
weixin_44844089的博客
04-21 409
概念 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 举例 ...
MyBatisMyBatis#{ }和 ${ }的区别
啊松同学的博客
01-11 1244
Mybatis#{ }和${ }的区别
MyBatis-#{}和${}的区别
weixin_43472934的博客
08-05 226
OGNL语言 在MyBatis框架中支持两种 OGNL语法 #{} ${} 第一种情况对比:添加数据 #{} --UserMapper.java @Insert("insert into user(username,password,age) values(#{username},#{password},#{age})") @Options(useGeneratedKeys = true,keyColumn = "id",keyProperty = "id") int insertUserInfo(U
mybatis#$区别
最新发布
01-03
MyBatis 中,`#` 和 `$` 都用于在 SQL 语句中进行变量替换,但它们存在一些区别: - **参数传递类型**: - `#`:可传递任意类型的参数,包括普通类型(8 大基本数据类型、8 大包装类和 String)和对象。当传递普通类型时,正常发送的 SQL 语句会以占位符形式呈现,如 `SELECT * FROM t_student WHERE id=?`;传递对象时同样如此 [^2]。 - `$`:只能取对象中的值,传递普通类型时会报错,无法取值。当传递对象时,会将传入的数据直接显示生成在 SQL 中,例如 `order by $user_id$`,若传入的值是 `111`,解析成 SQL 时为 `order by user_id`;若传入的值是 `id`,解析成的 SQL 为 `order by id` [^2][^4]。 - **SQL 注入风险**: - `#`:取值可以有效防止 SQL 注入,因为它是通过预编译的方式将参数传递给数据库,参数会被当作一个字符串处理,而不是 SQL 的一部分 [^2]。 - `$`:取值是 SQL 拼接,不能有效防止 SQL 注入,因为它会将传入的数据直接拼接到 SQL 语句中,若传入恶意的 SQL 代码,可能会导致 SQL 注入攻击 [^2]。 - **预编译支持和性能**: - `#`:取值让 SQL 语句支持预编译的功能,数据库可以对 SQL 语句进行缓存和优化,提高执行效率,性能较高 [^2]。 - `$`:不支持预编译,每次执行 SQL 时都需要重新解析和编译,性能相对较低 [^2]。 - **使用场景**: - `#`:一般用于取值操作,是 MyBatis 中最常用的参数传递方式 [^2]。 - `$`:一般用于动态排序、动态表名等场景,因为在这些场景中需要动态生成 SQL 语句的一部分 [^2]。 以下是使用示例: ```xml <!-- 使用 # 取值 --> <select id="selectStudentById" parameterType="int" resultType="Student"> SELECT * FROM t_student WHERE id = #{id} </select> <!-- 使用 $ 进行动态排序 --> <select id="selectStudentsOrderBy" parameterType="String" resultType="Student"> SELECT * FROM t_student ORDER BY ${sortColumn} </select> ```
评论 3
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值