Mybatis中的#和$的区别

最新推荐文章于 2025-07-15 15:56:34 发布
原创 最新推荐文章于 2025-07-15 15:56:34 发布 · 4.1w 阅读 · 106 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mybatis #sql ##$

本文探讨了Mybatis中使用#和$作为参数占位符的区别,强调了$可能导致的SQL注入问题。通过实例展示了#能够防止SQL注入,而$会导致SQL语句直接拼接,从而使得攻击者有机会进行注入。建议在配置Mybatis参数时优先使用#以确保安全性。

       在学校的时候,想必大家肯定听老师讲过,在mybatis中,配置参数要用#,不要用$符号。因为$不安全,容易被sql注入。讲是这么讲,但是如何注入的,大家一起来看看吧。

一:下面我们写个关于“#”的个sql,看能不能注入。

 
 <select id="selectUser" resultMap="BaseResultMap">
    SELECT 
    	acc.user_name FROM dfws_sys_user_account AS acc
    WHERE
        acc.user_name like #{userName}
  </select>
1.正常传参
DfwsSysUserAccount user = new DfwsSysUserAccount();
user.setUserName("wanglingzhi");
List<DfwsSysUserAccount> list = userAccountService.selectUser(user);
if(list!=null && list.size()>0){
    for (DfwsSysUserAccount u:list) {
    	System.out.println("用户名:"+u.getUserName());
    }
}else{
        System.out.println("暂无数据");
}

最低0.47元/天 解锁文章

200万优质内容无限畅学
MyBatis - #{} ${}
m0_74859835的博客
09-21 908
mybatis - #{ } ${ } 的使用区别,预编译SQL 即时SQL 的优缺点,及SQL注入问题
MyBatis#{}${} | 数据库连接池
不能再留遗憾了的博客
01-09 2832
MyBatis中最常见的面试题——#{}${}的区别,数据库连接池
mybatis#$区别
灰太狼
03-22 2万+
mybatis接口mapper文件中引用传入的参数是通过#{param}或者${param}来使用的。1.数据类型匹配#:会进行预编译,而且进行类型匹配$:不进行数据类型匹配2.实现方式 #:用于变量替换$:实质上是字符串拼接3.#$的使用场景(1)变量的传递,必须使用#,使用#{}就等于使用了PrepareStatement这种占位符的形式,提高效率。可以防止sql注入等等问题。#方式一般用...
Mybatis${} #{} 有什么区别
最新发布
hhua0123的专栏
07-15 490
可以看出 ${} #{} 都是 MyBatis 中用来替换参数的,它们二者的区别主要体现在:${} 是直接替换,而 #{} 是预处理;需要传递普通参数时使用 #{};如果业务需要传递的是 SQL 命令或 SQL 关键字,需要使用${} ,但在使用前一定要做好安全验证;使用 ${} 存在安全问题,而 #{} 则不存在安全问题。
MyBatis#$符的区别sql注入问题,动态sql语句
m0_73381672的博客
02-06 1932
#{}${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
MyBatis#{}${}的区别详解
莫日向西的博客
09-02 582
最近在用mybatis,之前用过ibatis,总体来说差不多,不过还是遇到了不少问题,再次记录下. 先给大家介绍下MyBatis#{}${}的区别,具体介绍如下: 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql
MyBatis#{} ${} 的区别
liuyuinsdu的专栏
03-12 1452
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS中 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$区别 在...
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis中的#$区别
09-02
MyBatis中,`#``$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis下动态sql##$$区别讲解
08-26
Mybatis下动态sql##$$区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis中,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis中,使用...
mybatis#{}${}的区别
Lyuuku爱吃苹果
02-11 576
1. 概念 #{}${}都可以传输数据,两者的差异是编译的时期不一样 #{}是一次编译,后续每次调用只是传递一个参数进去${}是每次都会编译,传递进去的数据会当做sql语句一起编译 2. sql语句的编译 sql语句编译有两种形式,即statementPrepareStatement两种 2.1 Statement statement每次执行语句都要重新编译一次
mybatis$#区别
CollectorAndCreator
03-22 298
#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”.    将传入的数据直接显示生成在sql中。如:orderby将传入的数据直接显示生成在sql中。如:order by user_id$,如果传入的值
一文解惑mybatis中的#{}${}
一个菜鸡的博客
07-19 6169
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
Mybatis$#区别
weixin_30652491的博客
10-10 149
1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于select id,name,age from student where id ='1'. 2 $是将传入的数据直接显示生成sql语句,eg:select id,name,...
Mybatis#$区别
伏颜的博客
07-11 2万+
Mybatis#$区别
MyBatis$ # 有什么区别
美妙_perfect
03-08 1877
MyBatis$#有什么不同 a) 应用场景不同 ${}表达式主要用户获取配置文件数据,DAO接口中的参数信息,当 $ 出现在映射文件的 SQl 语句中时创建的不是预编译的 SQL ,而是字符串的拼接有可能会导致 SQL 注入的问题,所以一般使用 $ 接收 DAO 参数时,这些参数一般是字段名,表名等.例如 order by {column} #...
mybatis $ # 区别
程序员写的技术 FAQ 和杂文
08-16 4255
# 字符串处理,加单引号      可一定程度的防注入。 $ 直接引用不做处理,比如数字 如果SQL 中的数字字段也用 # 的话。SQL 执行时就需要转义,多了一些无用的性能损耗。 参考: http://www.cnblogs.com/hellokitty1/p/6007801.html http://blog.sina.com.cn/s/blog_5c5bc90701
MyBatis#{}${}的区别
热门推荐
siwuxie095's blog
01-28 8万+
------------------------siwuxie095                         MyBatis#{} ${} 的区别       1、在 MyBatis 的映射配置文件中,动态传递参数有两种方式:    (1)#{} 占位符    (2)${} 拼接符          2、#{} ${} 的区
mybatis#$区别
12-30
### MyBatis 中 `#` `$` 符号的区别 #### 占位符功能差异 在 MyBatis 中,`#{}` `${}` 都可以作为占位符来插入参数到 SQL 语句中。然而两者的工作机制存在显著不同。 当使用 `#{}` 形式的占位符时,MyBatis 将其视为预处理语句 (PreparedStatement) 的参数绑定方式[^1]。这意味着实际的 SQL 发送到数据库之前会先由 JDBC 进行一次转义处理,从而有效防止 SQL 注入攻击的发生。 而采用 `${}` 方式,则是直接替换模板中的变量名为其对应的值字符串,并不做任何额外的安全检查或转换操作[^2]。因此,在某些特殊情况下可能会引入潜在风险。 #### 使用场景对比 由于上述特性上的差别,这两种语法适用于不同的编程环境: - 对于大多数常规查询条件构建而言,推荐优先选用 `#{}` 结构以增强应用程序的整体安全性; - 当遇到一些无法通过标准 API 实现的需求——比如表名、列名动态指定等情况时,则可能不得不借助 `${}` 完成相应逻辑编码工作;不过此时应当格外谨慎对待输入验证环节[^3]。 #### 示例代码展示 下面给出一段简单的例子说明如何分别运用这两种表达形式编写 Mapper XML 文件内的 SELECT 语句: ```xml <!-- 正确做法 --> <select id="findUserById" parameterType="int" resultType="com.example.User"> SELECT * FROM users WHERE user_id = #{userId} </select> <!-- 错误示范:容易遭受注入威胁 --> <select id="findByTableName" parameterType="string" resultType="map"> SELECT * FROM ${tableName} <!-- 不建议这样写 --> </select> ```
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值