MyBatis中#{}和${}的区别详解(sql 防注入)

最新推荐文章于 2025-05-07 09:29:36 发布
原创 最新推荐文章于 2025-05-07 09:29:36 发布 · 405 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mybatis

本文详细解析了MyBatis框架中#和$符号在SQL语句中的使用区别,#将传入的数据视为字符串并自动加引号,而$则直接将数据插入SQL中,可能导致SQL注入风险。

mybatis中的#和$的区别:

1、#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。
如:where username=#{username},如果传入的值是111,那么解析成sql时的值为where username="111", 如果传入的值是id,则解析成的sql为where username="id". 
2、$将传入的数据直接显示生成在sql中。
如:where username=${username},如果传入的值是111,那么解析成sql时的值为where username=111;

我们来看以下代码来跑一下:

<select id="test" resultType="java.util.HashMap">
        select * from order_info where order_no=${orderNo}
    </select>

用Postman做以下测试:

去数据库查一下:

 

你会发现sql已经注入成功了。

我们把$改成#试一下:

 <select id="test" resultType="java.util.HashMap">
        select * from order_info where order_no=#{orderNo}
    </select>

 同样用Postman测试一下,结果如下:

你会发现并未注入成功! 

有些同学可能会问,我测试了并不是这样,那你得去看一下你的配置文件了:

server:
  port: 9003
spring:
  application:
      name: xxx-admin
  datasource:
    driverClassName: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://88.188.88.98:5706/xxx?useUnicode=true&characterEncoding=utf8&serverTimezone=GMT%2B8&useSSL=false&allowMultiQueries=true
    username: xxxx
    password: xxxxx
    initialSize: 0
    maxActive: 20
    maxIdle: 20
    minIdle: 1
    maxWait: 60000

allowMultiQueries=true  //允许批量更新

这个配置是否加上,如果没有的话加上测试一下。

MyBatis#$区别
你只管努力,
11-25 461
1.#是占位符。 $是用来拼接字符,虽然也是占位但是做不了字符的转换。#自动转换 日常报标识符无效的异常 2.#直接获取属性名称 $首先去获取properties文件的属性名称,没有的话再去对象或者参数中找。 3.#占位符 $拼接字符串,容易出现SQL注入。 为什么要引入$符号? 因为当数据库非常大的时候需要进行分库分表, 数据量大的时候#无法处理 这时候就需要$来处理了。传...
18.<Mybatis补充($#区别+数据库连接池)>
m0_73456341的博客
10-23 2075
详解了 1.$#区别 2.数据库连接池。 3.简单了解MySQL企业开发规范
mybatis$#注入的区别
qq_40312909的博客
08-18 340
#会进行预编译以?的形式拼接在sql中: $会直接拼接在sql中如下: SELECT * FROM xtech_brother_graph_log WHERE action_biz_code = 'teachers_day' and del_flag = "n" and action_type = ? group by target_work_no order by gmt_create desc
mybatis#{}${}的区别以及${}的sql注入
林高禄
10-29 2430
区别总览 sql注入演示 区别总览 这个文章说的很清楚了MyBatis#{}${}的区别 sql注入演示 这里主要演示${}的sql注入
学习记录365@mybatis 使用${username} 会读取到.propertier配置文件中的内容
教练我想学编程
12-14 188
为了配置数据原方便,写了个jdbc.properties文件,内容如下: dao接口如下: List<User> findByName(@Param("username") String username); 然后在mapping的配置文件中定义: <select id="findByName" resultType="com.qianfeng.pojo.User"> -- 这样会读取到properties中的root select * from t_user whe
mybatis#{}${}的区别
qq_42370421的博客
10-20 388
1、#{}是经过预编译的,是安全的; ${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。 2、#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。 where username=#{username},如果传入的值是111,那么解析成sql时的值为where username="111", 如果传入的值是id,则解析成的sql为where username="id".  3、$将传入的数据直接显示生成在sql中。 where username=${username}, 如
mybatis $ {} # {}的区别,什么时候使用${}
qq_22075913的博客
10-26 2847
mybatis $ {} # {}的区别,什么时候使用${} 动态sqlmybatis的主要特性之一。在mapper中定义的参数传到xml中之后,在查询之前mybatis会对其进行动态解析。 mybatis提供了两种支持动态sql的语法:#{} 、${}。 select * from t_user where username = '${username}'; select * from t_user where username = #{username}; username传参一致的话,这两种
MyBatis#{}${}的区别详解
09-01
MyBatis框架中,`#{}``${}`是两种不同的占位符,它们各自有不同的用途特性。了解它们的区别对于编写安全、高效的SQL语句至关重要。 首先,`#{}`是预编译参数的表示方式,它会被MyBatis转化为...
Mybatis#{}与${}的区别详解
08-25
Mybatis#{}与${}的区别详解 Mybatis 中的 #{} 与 ${} 是两个不同的占位符号,用于实现动态 SQL,两者的主要区别在于防止 SQL 注入的能力。#{} 能够很大程度防止 SQL 注入,而 ${} 方式无法防止 SQL 注入。 #{} ...
MyBatis#{}${}的深度解析
最新发布
记录学习的过程
05-07 1088
符号名称官方称谓主要作用#{}井号占位符参数标记(Parameter Marker)预编译参数绑定${}美元符占位符字符串替换(String Substitution)直接字符串替换是否需要动态拼接SQL结构?├─ 是 → 是否涉及用户输入?│ ├─ 是 → 使用白名单校验 + ${}(极度谨慎)│ └─ 否 → 使用${}并确保参数可信└─ 否 → 一律使用#{}
mybatis的模糊查询中的“%“#{username}“%“怎么理解?
qq_34337670的博客
02-21 1798
mybatis,碰到预编译模糊查询的问题,搜到了我一样的这个问题[mybatis的模糊查询中的"%"#{username}"%"怎么理解?](https://segmentfault.com/q/1010000041965919/a-1020000043451918),琢磨了一下午,写了这个回答。
mybatis中的#$区别
追梦赤子的博客
11-14 175
1、#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。 如:where username=#{username},如果传入的值是111,那么解析成sql时的值为where username=“111”, 如果传入的值是id,则解析成的sql为where username=“id”.  2、将传入的数据直接显示生成在sql中。如:whereusername=将传入的数据直接显示生成在s...
sql注入问题
坤健的博客
08-22 333
mybatis中的#$区别: 1、#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。 如:where username=#{username},如果传入的值是111,那么解析成sql时的值为where username="111", 如果传入的值是id,则解析成的sql为where username="id".  2、$将传入的数据直接显示生成在sql中。 如:where us...
var userName=$("#userName").val()如何理解
热门推荐
xuanmu
02-16 1万+
val()是返回属性value对应的值。比如,使用$("#userName").val()就得到了"123"。 $("#userName")是id选择器,获得id为userName的标签,通过.val(),获得这个标签的value的值,赋值给你声明的变量 var userName ...
Mybatis中的#{xxx}与${xxx}的区别
Allen8523的博客
06-24 564
1、#将传入的数据当成一个字符串,会自动传入的数据加双引号“”。 例如:where username = #{username}; 如果传入的值为123,那么解析sql时的值为where username = “111”。 2、$将传入的值直接显示生成在sql中 例如:where username = ${username};如果传入的值为123,那么解析sql时的值为where username = 111。 在编写mybatis的映射语句时,尽量采用#{xxx},如果要使用...
学习Linux第四天(2)
weixin_52395571的博客
11-26 412
passwd username 添加用户密码 现实的操作是新增一个用,就要为这个用户直接添加密码 passwd -d username 清空用户密码 6.2的安全机制似乎有问题,允许空密码用户登录, chage,对用户密码做出若干限制,比如时效、强度、更改密码的天数等 常见的应用比如信用卡的第一次登陆要求强制变更密码,可以用chage -d 0 username来实现 usermod 对用户属性进行修改(mod是个命令词根,比如chmod,grpmod,看到命令后面由这个词根组成,我们大体就知道他是对某
在Spring中配置jdbc为什么不能用${username}问题
Less Is More
08-03 3529
楼主在spring中配置jdbc时,引用的是dbcp.jar包,在dataSource.properties配置文件中,有mysql用户名,楼主自然的选择了使用username,密码是root, 然后在spring的配置applicationContext.xml文件中去读取配置,代码检查了几遍都是对的,然而每次运行时都包这个错Cannot create PoolableConnectionFa
spring配置文件读取${username}问题
q1054261752的博客
07-26 2571
spring配置文件里读取jdbc.properties文件,由于数据库用户名配置成 username=root 结果在spring配置文件里取到的居然是系统用户名Administrator,将username=root改成jdbc.username=root后一些正常。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值