关于mybatis中#和$占位符理解,导致sql语句的条件失效

最新推荐文章于 2024-06-02 16:35:55 发布
原创 最新推荐文章于 2024-06-02 16:35:55 发布 · 697 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mybatis #sql #java

文章讨论了在使用MyBatis时,#和$占位符的区别和应用场景。#用于PreparedStatement,提高效率并防止SQL注入,适合列值;$则用于Statement,可能存在安全风险,适用于表名或列名。特别指出,当需要动态指定列名时,由于#会将字符串包围在双引号中,导致错误,此时应使用$。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

之前总觉得自己把mybatis、mysql学习的很好了,但是这次发现使用过程中,很多小细节还是掌握的不到位

做项目中,mybatis的占位符很常用,#和$的区别如下,

#占位符的特点

  1. MyBatis处理 #{ } 占位符,使用的 JDBC 对象是 PreparedStatement 对象,执行sql语句的效率更高。
  2. 使用 PreparedStatement 对象,能够避免 sql 注入,使得sql语句的执行更加安全。
  3. #{ } 常常作为列值使用,位于sql语句中等号的右侧;#{ } 位置的值与数据类型是相关的。

$占位符的特点

  1. MyBatis处理 ${ } 占位符,使用的 JDBC 对象是 Statement 对象,执行sql语句的效率相对于 #{ } 占位符要更低。
  2. ${ } 占位符的值,使用的是字符串连接的方式,有 sql 注入的风险,同时也存在代码安全的问题。
  3. ${ } 占位符中的数据是原模原样的,不会区分数据类型。
  4. ${ } 占位符常用作表名或列名,这里推荐在能保证数据安全的情况下使用 ${ }。

这几点大多都耳熟能详,但是真到应用中还是不能使用的得心应手。

在使用过程中,有一个很大的坑需要注意,容易导致sql语句报错或者sql语句的条件无效
比如要将查询出来的数据,按照某一列升序或降序排列;或者传入一个字段名称,在sql语句中使用。具体是哪一个列,是由前端或者后台传递过来。在这样的场景下,就必须要使用到 ${ }占位符,而不能使用#{ }占位符。因为:#{ }占位符使用的时候,如果传递过去的是一个字符串,那么最终生成的SQL语句,会自动使用双引号包裹住字符串。

这一点也对应$占位符的第四点,但是在使用过程中很容易忽略,我自己再mark一下。

MyBatis动态表名或动态排序直接使用${}而引发SQL注入安全漏洞的修复解决方案
eguid音视频技术分享(JavaCV教程、FFmpeg教程、openCV图像处理教程、音视频教程)
07-20 3264
MyBatis能用#{}尽量用#{},而本文主要解决必须要用${ }的情况下,如何解决${}导致SQL注入安全漏洞修复。
Spring及Mybatis整合占位符解析失败问题解决
08-18
主要介绍了Spring及Mybatis整合占位符解析失败问题解决,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
JDBC常见异常(10)—预编译模式下占位符动态排序字段失效
梦凝哲雪
05-31 599
PreparedStatement用占位符防止SQL注入的原理是,在为占位符设置值时,会将值转为字符串,然后转义,再将值放入反引号中,放置在占位符的位置上。执行SQL时,如果order by之后的排序字段使用占位符,通过setString设置值的话,会导致排序失效。需要根据不同的列进行对应的排序操作,实现动态列名排序 类似🐟动态查询或更新。,导致排序失效,甚至任意的注入数值都不影响前面的查询结果。因此,当排序字段使用占位符后,原来的排序语句。但是JDBC预编译模式下占位符的排序字段失效
mybatis${}字符串标识符无效问题【bug修复】
ss_Tina的博客
12-13 1250
发现执行sql的时候,id是字符串,并识别为字符串因此报错。最终调用 方法的时候传参手动加了单引号才执行成功。
spring+mybatis 配置文件占位符不能解析的问题
huazhizui的专栏
07-16 697
         在spring里使用org.mybatis.spring.mapper.MapperScannerConfigurer 进行自动扫描的时候,设置了sqlSessionFactory 的话,可能会导致PropertyPlaceholderConfigurer失效,也就是用${jdbc.username}这样之类的表达式,将无法 获取到properties文件里的内容。 导致这一原...
spring+mybatis在读取配置文件时不识别占位符的问题。
hyjcslb2876的专栏
06-16 1995
最近有空闲时间了,想着整理下框架方面的东西。使用spring+mybatis自己手动搭建了个环境(拷贝以前的配置,自己重新搭建),数据库使用的是properties文件,连接池使用的是druid,配好数据库后启动一直报错。 显示连接池把${jdbc.username}占位符当成字符串‘${jdbc.username}’了,无法连接数据库。 感觉莫名其妙,检查一圈发现问题。这可就把我这性子惹
Mybatis异常-SQL执行反应,但oracle单独执行正常
热门推荐
loongshawn的博客
01-13 1万+
运行环境SpringBoot表现结果1、有的SQL能够执行,有的SQL不行,运行也不报错,但就是执行后有效果。 2、但SQL单独再oracle中是执行成功的。SQL片段<select id="checkDaohangProcessedStatusByRefid" parameterType="Map" resultType="java.lang.Integer"> SELECT
mybatis 动态sql ?占位符偶发赋值失效
最新发布
04-23
### MyBatis 动态 SQL占位符 `?` 偶发赋值失效的原因分析 在 MyBatis 动态 SQL 的执行过程中,如果发现占位符 `?` 出现偶发性的赋值失败现象,通常可能由以下几个方面引起: #### 1. 参数映射不匹配 MyBatis ...
mybatis中如何防止sql注入传参
kali_Ma的博客
12-24 2948
环境 使用mysql,数据库名为test,含有1表名为users,users内数据如下 JDBC下的SQL注入 在JDBC下有两种方法执行SQL语句,分别是StatementPrepareStatement,即其中,PrepareStatement为预编译 Statement SQL语句 SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "' 当传入数据为 username =
Mybatis排序无效问题解决.doc
03-20
因为`${}`直接将参数值插入到SQL语句中,如果有对参数值进行适当的校验过滤,则可能会导致SQL注入攻击的风险增加。因此,在实际应用中,建议对传入的排序参数进行严格的校验转义处理,确保其安全性。 综上所...
【面试题-013】MyBatis 中,`#` `$` 符号区别
学习 记录 总结 分享
06-02 553
一级缓存适用于单次会话内的查询结果缓存,可以提高会话内的查询效率。二级缓存适用于跨多个会话的查询结果缓存,可以提高不同会话之间的查询效率。在使用 MyBatis 时,可以根据实际需求来选择使用一级缓存、二级缓存,或者两者结合使用。同时,需要注意缓存策略的设置,以避免缓存带来的问题,如脏数据、数据不一致等。
MyBatis笔记】6 - 特殊SQL的执行:不能使用#{}的场景、获取自增的主键
CherryChenieth的博客
03-01 2186
文章目录1、模糊查询2、批量删除3、动态设置表名4、添加功能获取自增的主键 视频链接:https://www.bilibili.com/video/BV1VP4y1c7j7?p=37&spm_id_from=pageDriver 接口类综合代码: public interface SQLMapper { /** * 根据用户名模糊查询用户信息 */ List<User> getUserByLike(@Param("username") String
mybatis在使用in条件传参,查询出来的结果缺少问题解决
weixin_50348837的博客
11-02 971
这里用的竟然是“#”,如果用#{xxx},mybatis会把他当做一个字符串,并且只会当他是一个值,而且只会按第一个值来查询,即“985”这个值来查询,所以查询出来的是满足equip_type_model_id=985的记录,而满足这一条件的也就是三条记录。打开数据库,查看了一下表里面的空调数量是正确的,对接的平台的数量是一样的。经过对查询空调信息接口的调试,发现在查询分组的时候只查询到了三个分组,正常应该是有五个分组的。bug大概就是,前端页面展示的空调数量比所对接的平台上的空调数量少了两台。
mybatis异常Parsing error was found in mapping #{}占位符报错解决方案
leomoon
03-03 1416
1.存在 ‘#{’ 字符串查询的sql拼接 拼接时,区分开’#’{’ 防止被识别成’#{'占位符 concat(’#’,’{’,tab.key , ‘}’) 错误示例:concat(’#{’,tab.key , ‘}’) xxxMapper.xml 代码: select * table1 t1 left join table2 t2 on t1.key = concat('#','{',t2.key , '}') 2.其他:mybatis#{}占位符${} 拼接符的区别
Mybatis#{}与${}占位符
EthanZ001的博客
09-11 393
由于采用了预编译的做法, 所有值都不用考虑数据类型的问题, 例如 , 不需要给字符串类型的值添加一对单引号, 并且, 预编译是安全的,由于不是预编译的, 字符串, 日期等类型的值需要添加一对单引号, 否则, 将被视为字段名, 运算表达式等, 由于是先代入值再执行编译相关流程, 所以, 代入的值是可以改变语义的, 是。这种做法中, ${ }占位符可以表示SQL语句中的任何片段, 只需要保证拼接起来后可以通过编译即可!在Mybatis中, 使用#{ }格式的占位符, 在底层实现时, 会使用。
碰到MyBatis无法识别到前端传的值
xin2313044566的博客
10-11 211
当然,我只是个菜鸟,比不上各位人杰地灵,采纳就采纳,不采纳您可以另寻他法。
使用MyBatis$ # 出现数据查不到的问题分析
风水道人
08-11 3271
1、快速解决 2、foreach标签的使用 开头 区别 问题分析 解决办法 开头 这是一次代码优化过程中发现的问题,在功能优化后发现部分数据查不到出来了,问题就在于一条sql上的#$。 下图为两条sql: 从图上可以看出 wwlr.LabelId in( You can't use 'macro parameter character #' in math mode{showLabels}) wwl...
MyBatis-关于Mybatis中遇到的一些问题的见解
CodeDabaicai的博客
12-04 533
MyBatis问题总结 1、通常一个XML映射文件,都会有一个Dao接口与之对应。这个Dao接口的工作原理是什么?接口中的方法参数不同时,方法能重载吗? 答:背景:Dao接口就是Mapper接口。接口的权限名对应XML映射文件中namespace的值,接口的方法名对应映射文件中MappedStatement的id值,接口方法内的参数就是传递给SQL的参数。接口无实现类,接口权限名+接口方法作为key值当且仅当定位一个MappedStatement。(在Mybatis中,每一个、、、标签,都会被解析为一个Ma
消息摘要算法与密码加密
weixin_48206782的博客
09-13 515
首先,对密码进行加密后,再存储,是非常有必要的!并且,主要的防范对象通常是内部员工!需要注意,对密码进行加密处理时,不可以使用加密算法!因为,所有的加密算法都是可以加密,也可以解密的!加密算法的核心价值在于保证数据在传输过程中是安全的,并不保证数据存储的安全!对需要存储的密码进行加密处理时,应该使用消息摘要算法,其本质是一种哈希算法,是不可逆向运算的!消息相同,则摘要相同无论消息长度,摘要的长度是固定的(同一种算法)消息不同,则摘要几乎不会相同。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值