Mybatis中#{}和${}之间的区别,以及什么是SQL注入漏洞

最新推荐文章于 2025-08-06 12:52:45 发布
最新推荐文章于 2025-08-06 12:52:45 发布
阅读量556 收藏 11
点赞数 14
CC 4.0 BY-SA版权
文章标签: mybatis sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_40587144/article/details/136219546
博客围绕MyBatis中SQL注入、${}和#{}的区别及使用场景展开。通过代码示例展示字符串直接拼接和占位符拼接参数的不同,指出前者存在SQL注入风险,对应${};后者无风险,对应#{}。还给出使用建议,where后用#{}防注入,select后用${}动态传字段。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

疑问点:

1: 什么是SQL注入漏洞?
2: 两者之间的区别?
3: 两者的使用场景有那些?

什么是SQL注入?

先看两段代码,假如id的值为字符串"100",大家可以顺便想想每段代码最后拼接出来的SQL长什么样。
字符串直接拼接参数

public static ResultSet executeInject(Connection connection, String id) {
    String sql = "select * from order_info where id = " + id;
    PreparedStatement stmt = connection.prepareStatement(sql);
    return stmt.executeQuery();
}

通过占位符?和setString()方法拼接参数

public static ResultSet executeNormal(Connection connection, String id) {
    String sql = "select * from order_info where id = ?" ;
    PreparedStatement stmt = connection.prepareStatement(sql);
    stmt.setString(1, id);
    return stmt.executeQuery();
}

这两种方式有什么不同吗?
假如id的值是字符串"100",那么以上两段代码最终拼出来的SQL为:
字符串直接拼接参数的结果:

"select * from order_info where id = 100"

通过占位符?和setString()方法拼接参数的结果:

"select * from order_info where id = '100'"

看上去区别不大,但是对于id=100来说,id是varchar,100是int,对于mysql来说是要做类型转换的,这个过程其实是会导致问题的

那如果现在乱写,给id传的值为"100 or 1=1",那么拼出来的SQL为:
字符串直接拼接参数的结果:

"select * from order_info where id = 100 or 1=1"

通过占位符?和setString()方法拼接参数的结果:

"select * from order_info where id = '100 or 1=1'"

仔细看看,看出区别没,直接拼接参数的将能查出全部数据,因为or 1=1生效了,而通过?和setString拼接的则不会出现问题,因为它被包裹在’'里了,而这就是SQL注入漏洞

${}和#{}的区别

那以上两种情况和${}和#{}是什么关系呢?是一对一的关系。

${}对应的就是字符串直接拼接参数,从而会有SQL注入的风险。
#{}对应的就是占位符?和setString()拼接参数,不会有SQL注入的风险。

使用场景总结

那#{}和${}实际工作中到底该如何使用呢?

建议在where条件后尽量使用#{},用来防止SQL注入。

${}可以用在select之后,用来动态传入待查询字段,比如select ${col} where…,如果col的值为"name",那么拼出来的sql为select name where…,这是正常的,而如果用#{}拼出来的就是select ‘name’ where…,变成了固定返回"name"这个字符串了,反倒是有问题的。

MyBatis动态或动态排序直接使用${}而引发SQL注入安全漏洞的修复解决方案
eguid音视频技术分享(JavaCV教程、FFmpeg教程、openCV图像处理教程、音视频教程)
07-20 3267
MyBatis能用#{}尽量用#{},而本文主要解决必须要用${ }的情况下,如何解决${}导致的SQL注入安全漏洞修复。
MyBatisSQL注入攻击防护——掌握技巧保护应用安全
AI天才研究院
07-28 1407
随着互联网信息化、云计算等技术的发展,网站业务越来越多样化、个性化,对用户输入数据的安全性要求也越来越高。在WEB开发中,常用的一种方式是用SQL作为后台语言,通过ORM工具将数据存储到数据库中并进行相关查询。由于ORM框架本身的特点,容易受到SQL注入攻击。SQL注入(英语:SQL injection)指的是通过向服务器端发送非法的SQL命令,而不是使用有效的查询条件而访问数据库,最终获取不正确的数据。
Mybatils 中使用$代码逃避扫描漏洞
doubleping的专栏
08-23 574
/注意,Mybatis会在首次加载Mapper的候,把配置变量中存在的占位符先替换掉,而不是等到SQL执行的候再替换。//那么,Mybatis初始化的候会把Mapper中的所有${abc}替换为xxx。//将存放此sqlNode的地方换成TextSqlNode。//将存放此sqlNode的地方换成TextSqlNode。//把替换后的sqlNode保存到对应字段。//原text中将要被拼接的字符索引。//这里面会有Ambiguity。//记录占位符替换信息的结构体。//Mybatis的配置变量。
【安全】mybatis#{}${}导致sql注入问题及解决办法
m0_59598029的博客
03-22 4064
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
sql注入漏洞与如何解决
热门推荐
太多的虚幻
08-20 1万+
关于sql注入漏洞 这个问题说白了其实很简单,就是因为sql语句使用拼接字符串导致的 举例String sql="SELECT * FROM userdata WHERE user="+user;上面这条语句就存在sql注入漏洞,因为最后的use是用字符串拼接的,再看下面的写法。String sql="SELECT * FROM userdata WHERE user=?";上面的语句便不存在s
【Web】基于MybatisSQL注入漏洞利用点学习笔记
uuzeray的博客
02-09 1641
#{} 是预编译参数示使用 PreparedStatement ,使用 setXXX() 方法设置参数值,会对传入参数进行类型处理,确保传递的参数类型正确。② ${} 存在 SQL 注入问题,因为 SQL 语句中插入的是传入参数值,如果参数值中包含 SQL 语句的关键字或特殊字符,可能会导致 SQL 注入攻击。① #{} 可以避免 SQL 注入问题,因为它会对传入参数进行类型处理,并将参数值转义后再放到 SQL 语句中,保证了 SQL 语句的安全性。在 MyBatis 中,
18.<Mybatis补充($#区别+数据库连接池)>
m0_73456341的博客
10-23 1950
详解了 1.$#区别 2.数据库连接池。 3.简单了解MySQL企业开发规范
MyBatis#{}${} | 数据库连接池
不能再留遗憾了的博客
01-09 2827
MyBatis中最常见的面试题——#{}${}的区别数据库连接池
Mybatis里的 # $区别
04-02
### MyBatis 中 `#` `$` 的区别及用法场景 #### 1. 基本概念 在 MyBatis 框架中,`#{}` `${}` 是两种常用的占位符,用于实现 SQL 动态参数化。然而,它们的工作机制适用场景存在显著差异。 #### 2. `#{}` ...
#{} ${} 区别SQL注入
cqy_2001的博客
04-27 239
如果mapper接口方法形参只有一个普通类型的参数#{···}里面的属性可以随便写,如:#{id},#{value}.
如何防止SQL注入 / #{ } ${ } 的区别详细解释
weixin_63172268的博客
02-11 927
SQL 注入是一种常见的网络攻击手段,其本质是攻击者将恶意的 SQL 代码插入到应用程序的输入字段中,从而欺骗服务器执行非预期的 SQL 指令。后续每次执行相同结构的 SQL 语句,只需要传递不同的参数,不需要重新编译,减少了执行资源的消耗,降低了数据库的负载。由于参数是在 SQL 编译完成后才传递的,攻击者无法通过输入恶意的 SQL 代码来改变 SQL 语句的结构,从而有效防止了 SQL 注入攻击。预编译后的 SQL 语句会被缓存起来,可以重复使用,提高了代码的复用性。MyBatis 会将。
MybatisSQL注入隐患操作复现&防止SQL注入
qq_35614522的博客
07-21 2312
很多人都知道SQL存在SQL注入引起的安全问题,但是很少有开发者去尝试过是怎样一个注入,本文将复现MybatisSQL注入问题并给出正确操作。
MyBatis框架远程代码执行漏洞
小小猪的博客
08-18 1531
MyBatis框架远程代码执行漏洞 漏洞分析 官方发布修复此漏洞的方法是添加了反序列化检查,通过补丁比较发现漏洞点: 漏洞点出现在SerializedCache类的私有方法deserialize()中,全局搜索此类,发现该类公有的getObject()方法调用了该私有方法: 在该方法设置断点,跟进发现进入了ScheduledCache类的getObject()方法: 这里可以看到getObject()方法调用了clearWhenStale()方法,是对cache是否过期进行判断
MyBatis 远程代码执行漏洞CVE-2020-26945
开心就好
10-26 4551
We have received another security vulnerability report caused by object stream deserialization. When all of the following conditions are met, the attacker can trigger RCE (remote code execution). the user enabled the built-in 2nd level cache [1] the user d
MybatisPlus的LambdaQueryWrapper用法
2301_79693537的博客
08-21 6383
【代码】MybatisPlus的LambdaQueryWrapper用法。
SQL167 SQL类别高难度试卷得分的截断平均值
最新发布
weixin_68458989的博客
08-06 318
本文分析了用户在SQL高难度试卷上的得分情况,计算截断平均值(去掉最高最低分后的平均分)。通过联结exam_recordexamination_info,筛选出SQL类别高难度试卷的有效得分记录,使用公式:(总分-最高分-最低分)/(有效人数-2)计算截断平均值,并四舍五入保留1位小数。示例数据中,试卷9001的得分经过处理后得到81.7的平均分。该方法类似于评委打分去除极端值的做法,能更客观反映用户的实际水平。
SAP-ABAP: Open SQL集合函数COUNT(统计行数)、SUM(数值求)、AVG(平均值)、MAX/MIN(极值)深度指南
baidu_35680696的博客
08-05 42
SAP-ABAP: Open SQL集合函数COUNT(统计行数)、SUM(数值求)、AVG(平均值)、MAX/MIN(极值)深度指南
MSQL-聚簇索引与非聚簇索引的比较
draymond7107的博客
08-02 469
聚簇索引与非聚簇索引比较
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序员JavaWind

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值