mybatis中#{}与${}的差别(如何防止sql注入)

最新推荐文章于 2025-06-29 10:00:00 发布
转载 最新推荐文章于 2025-06-29 10:00:00 发布 · 1.6k 阅读 · 3

默认情况下,使用#{}语法,MyBatis会产生PreparedStatement语句中,并且安全的设置PreparedStatement参数,这个过程中MyBatis会进行必要的安全检查和转义。

#相当于对数据 加上 双引号,$相当于直接显示数据

示例1:
执行SQL:select * from emp where name = #{employeeName}
参数:employeeName=>Smith
解析后执行的SQL:select * from emp where name = ?

示例2:

执行SQL:select * from emp where name = ${employeeName}
参数:employeeName传入值为:Smith
解析后执行的SQL:Select * from emp where name =Smith

 

综上所述、${}方式会引发SQL注入的问题、同时也会影响SQL语句的预编译,所以从安全性和性能的角度出发,能使用#{}的情况下就不要使用${}

Q:但是${}在什么情况下使用呢?

A:有时候可能需要直接插入一个不做任何修改的字符串到SQL语句中。这时候应该使用${}语法。

  比如,动态SQL中的字段名,如:ORDER BY ${columnName}

 

重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。

 

MyBatis框架作为一款半自动化的持久层框架,其SQL语句都要我们自己手动编写,这个时候当然需要防止SQL注入。其实,MyBatis的SQL是一个具有“输入+输出”的功能,类似于函数的结构,如下:

<select id="getBlogById" resultType="Blog" parameterType=”int”>
         SELECT id,title,author,content
         FROM blog
         WHERE id=#{id}
</select>

  这里,parameterType表示了输入的参数类型,resultType表示了输出的参数类型。回应上文,如果我们想防止SQL注入,理所当然地要在输入参数上下功夫。上面代码中黄色高亮即输入参数在SQL中拼接的部分,传入参数后,打印出执行的SQL语句,会看到SQL是这样的:

SELECT id,title,author,content FROM blog WHERE id = ?

  不管输入什么参数,打印出的SQL都是这样的。这是因为MyBatis启用了预编译功能,在SQL执行前,会先将上面的SQL发送给数据库进行编译;执行时,直接使用编译好的SQL,替换占位符“?”就可以了。因为SQL注入只能对编译过程起作用,所以这样的方式就很好地避免了SQL注入的问题。

  【底层实现原理】MyBatis是如何做到SQL预编译的呢?其实在框架底层,是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行同一个SQL时,能够提高效率。原因是SQL已编译好,再次执行时无需再编译。

 

  

  在MyBatis中,${xxx}这样格式的参数会直接参与SQL编译,从而不能避免注入攻击。但涉及到动态表名和列名时,只能使用${xxx}这样的参数格式。所以,这样的参数需要我们在代码中手工进行处理来防止注入。

【结论】

在编写MyBatis的映射语句时,尽量采用#{xxx}这样的格式。若不得不使用${xxx}这样的参数,要手工地做好过滤工作,来防止SQL注入攻击。

#{}:相当于JDBC中的PreparedStatement

${}:是输出变量的值

简单说,#{}是经过预编译的,是安全的${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。

如果我们order by语句后用了${},那么不做任何处理的时候是存在SQL注入危险的。你说怎么防止,那我只能悲惨的告诉你,你得手动处理过滤一下输入的内容。如判断一下输入的参数的长度是否正常(注入语句一般很长)

 

 

原理介绍:

myBatis 对于#{} 在boundSql 的时候,会将sql  语句解析成为?;对于${} 则本来的值进行替换。

对于  select * from emp where name = #{employeeName},myBatis 会解析sql为:select * from emp where name = #{employeeName},然后进行prepareStatment 预编译处理。

对于 select * from emp where name = ${employeeName},myBatis 会解析sql为:select * from emp where name = 'employeeName',然后进行prepareStatment 预编译处理。

myBatis 其实底层防止sql注入,使用的是prepareStatment语句。表现为#{employeeName}和${employeeName}的两种参数注入方法。

 

 

 

 

参考:

http://blog.youkuaiyun.com/szwangdf/article/details/26714603

http://www.myexception.cn/sql/1938757.html

https://blog.youkuaiyun.com/u013417227/article/details/70597871

mybatis#$使用和区别】
学无止境
02-27 1156
mybatis#$使用和区别】
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
Mybatis如何防止sql注入
最新发布
tschen的博客
06-29 1036
{}直接拼接字符串到 SQL 中(如 ORDER BY ${column} ),若参数来自用户输入,可能注入恶意代码。参数值通过setXxx()方法独立传递,数据库将其视为纯数据而非可执行代码,自动转义特殊字符(如单引号' → \')。原理:MyBatis 底层使用 JDBC 的PreparedStatement,将 SQL 语句参数分离。管控和业务层校验,可构建稳固的 SQL 注入防护体系。在业务层校验参数格式(如长度、字符集),拒绝非法输入。存储过程内部拼接 SQL 未转义。,确保参数值安全转义。
mybatis是如何防止SQL注入
weixin_30312563的博客
02-01 291
mybatis是如何防止SQL注入的 1、首先看一下下面两个sql语句的区别: <select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap"> select id, username, password, role from user where u...
mybatis】使用非预编译${}时,用字符串过滤方案,手动拦截SQL注入
ex_xyz的博客
03-09 857
mybatis】手动拦截SQL注入${} 字符串过滤方案
Mybatis如何防止SQL注入
weixin_43372187的博客
09-23 2852
什么是SQL注入攻击 SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些工作,来防备这样的攻击方式。 例如攻击者会将passwd的参数输入为“ ’ or ‘1’ = '1 ”;那么直接使用Statement,则打印出来的SQL语句如下: select * from tb_name = '随意' and passwd = '' or '1' = '1
MyBatis#$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 1913
#{}和${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
浅谈mybatis中的#$的区别 以及防止sql注入的方法
09-01
MyBatis中,`#`和`$`在动态SQL中的使用有着明显的区别,它们在处理传入数据的方式上有所不同,同时也SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
浅谈Mybatis #$区别以及原理
08-18
这两个占位符的使用场景和风险也不同,#号可以防止SQL注入,而$号则需要服务器端提供参数,前端可以用参数进行选择,避免SQL注入的风险。 Mybatis#$的处理 Mybatis#$的处理机制不同。在源码中,我们可以...
MyBatis#$区别?
你只管努力,
11-25 437
1.#是占位符。 $是用来拼接字符,虽然也是占位但是做不了字符的转换。#自动转换 日常报标识符无效的异常 2.#直接获取属性名称 $首先去获取properties文件的属性名称,没有的话再去对象或者参数中找。 3.#占位符 $拼接字符串,容易出现SQL注入。 为什么要引入$符号? 因为当数据库非常大的时候需要进行分库和分表, 数据量大的时候#无法处理 这时候就需要$来处理了。传...
MyBatisPlus中全局Sql注入器应用_逻辑删除使用示例代码
04-27
MyBatisPlus中全局Sql注入器应用_逻辑删除使用示例代码
Mybatis防止sql注入的实例
08-30
本文通过实例给大家介绍了Mybatis防止sql注入的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
MyBatis使用#$操作符模拟sql注入
my_momo_csdn的博客
03-13 534
一、接口方法: public interface PlayerDao { List&lt;Player&gt; findByName(@Param("playName") String playName); } Mapper文件1: &lt;select id="findByName" resultType="Player"&gt; ...
【今天黑一下学校教务系统】某学校渗透测试远程命令执行(已授权)
shandongjiushen的博客
02-07 4280
我和小伙伴们都惊呆了
mybatis防止sql注入
ppwwp的专栏
01-11 1033
SQL注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的实体字段中(例如,为了转储数据库内容给攻击者)。[摘自] SQL injection - Wikipedia 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执...
MyBatis-Plus 防止 SQL 注入最佳实践指南
qq_45973421的博客
04-21 1098
SQL 注入是一种常见的安全漏洞,攻击者通过恶意构造 SQL 输入参数,干扰原有查询逻辑,进而非法访问、修改、甚至删除数据库内容。这种语句如果没有做输入过滤,就可能返回整个用户表。防护点是否安全建议做法使用#{}✅安全,使用参数绑定使用${}❌高风险,避免使用条件构造器Wrapper✅推荐使用,自动处理绑定拼接字段名 / 排序字段⚠使用白名单验证拼接完整 SQL 语句❌尽量避免,转为 XML 或 Wrapper 构建。
mybatis-防止sql注入
weixin_30629653的博客
10-09 93
当参数使用 #{xxx}时,参数不参到编译过程,编译后用 ?代替响应的位置,可以预防sql注入。另外,在多次执行同一个sql语句时,也能提高执行速度。 但是使用 ${xxx}时,参数会参到编译过程,会引起sql注入,要手工做好过滤工作。 #{xxx}原理:JDBC PreparedStatement 参考:https://www.cnblogs.com/ysw-go/p/5459...
Mybatis如果防止sql注入
hanjiaqian的博客
01-27 885
前序:SQL注入就是通过传入参数携带一些关键字,例如:select * from tablename where name = "张三" or " name = '李四' ";【张三" or " name = '李四'】这段参数就是刻意注入拼接进来造成李四也被查出来了;那么如何避免呢,那就不得不说说mybatis${}跟#{}的区别了; #{}: <selectid="getBlogById"resultType="Blog"parameterType=”int”> ...
mybatis#$的区别?
12-30
### MyBatis 中 `#` 和 `$` 符号的区别 #### 占位符功能差异 在 MyBatis 中,`#{}` 和 `${}` 都可以作为占位符来插入参数到 SQL 语句中。然而两者的工作机制存在显著不同。 当使用 `#{}` 形式的占位符时,MyBatis 将其视为预处理语句 (PreparedStatement) 的参数绑定方式[^1]。这意味着实际的 SQL 发送到数据库之前会先由 JDBC 进行一次转义处理,从而有效防止 SQL 注入攻击的发生。 而采用 `${}` 方式,则是直接替换模板中的变量名为其对应的值字符串,并不做任何额外的安全检查或转换操作[^2]。因此,在某些特殊情况下可能会引入潜在风险。 #### 使用场景对比 由于上述特性上的差别,这两种语法适用于不同的编程环境: - 对于大多数常规查询条件构建而言,推荐优先选用 `#{}` 结构以增强应用程序的整体安全性; - 当遇到一些无法通过标准 API 实现的需求——比如表名、列名动态指定等情况时,则可能不得不借助 `${}` 完成相应逻辑编码工作;不过此时应当格外谨慎对待输入验证环节[^3]。 #### 示例代码展示 下面给出一段简单的例子说明如何分别运用这两种表达形式编写 Mapper XML 文件内的 SELECT 语句: ```xml <!-- 正确做法 --> <select id="findUserById" parameterType="int" resultType="com.example.User"> SELECT * FROM users WHERE user_id = #{userId} </select> <!-- 错误示范:容易遭受注入威胁 --> <select id="findByTableName" parameterType="string" resultType="map"> SELECT * FROM ${tableName} <!-- 不建议这样写 --> </select> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值