mybatis中 # 号和 $ 符的区别

已于 2023-01-18 16:00:16 修改
阅读量2.1k 收藏 13
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 后台 文章标签: mybatis中#号和 $符的区别
于 2018-11-22 10:03:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43201015/article/details/84334379
本文详细对比了MyBatis中#号和$符号在SQL语句中的使用区别,#号可以有效防止SQL注入,而$符号则会直接生成SQL语句,存在安全隐患。文章还介绍了SQL注入的原理及如何使用PreparedStatement和正则表达式来预防SQL注入。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

mybatis#号和$符的区别?

区别

1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于

select id,name,age from student where id ='1'.

使用#可以很大程度上防止sql注入。(语句的拼接) ,

为什么#可以防止sql注入:mybatis中#不会对传值做处理,$会对特殊字符过滤

2 & 是将传入的数据直接显示生成sql语句,, 当前端把id值1,传入到后台的时候,就相当于

eg: select id,name,age from student where id =${id}
select id,name,age from student where id = 1.

SQL注入

就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令

预防

1.(简单又有效的方法)PreparedStatement

采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。

使用好处:

(1).代码的可读性和可维护性.

(2).PreparedStatement尽最大可能提高性能.

(3).最重要的一点是极大地提高了安全性.

原理:

sql注入只对sql语句的准备(编译)过程有破坏作用

而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,

而不再对sql语句进行解析,准备,因此也就避免了sql注入问题.

2.使用正则表达式过滤传入的参数

要引入的包:

import java.util.regex.*;

正则表达式:

private String CHECKSQL = “^(.+)\sand\s(.+)|(.+)\sor(.+)\s$”;

判断是否匹配:

Pattern.matches(CHECKSQL,targerStr);

下面是具体的正则表达式:

检测SQL meta-characters的正则表达式 :

/(%27)|(\’)|(--)|(%23)|(#)/ix

典型的SQL 注入攻击的正则表达式 :/\w*((%27)|(\’))((%6F)|o|(%4F))((%72)|r|(%52))/ix

检测SQL注入,UNION查询关键字的正则表达式 :/((%27)|(\’))union/ix(%27)|(\’)

检测MS SQL Server SQL注入攻击的正则表达式:

/exec(\s|+)+(s|x)p\w+/ix

mybatis#$使用区别
学无止境
02-27 1156
mybatis#$使用区别
#$区别
ahkslm7074的博客
09-28 252
#是将传入的值当做字串的形式,可以防止sql注入 $是将传入的数据直接显示生成sql语句 转载于:https://www.cnblogs.com/Ysuwade/p/7606754.html
mybatis#$区别
清行陌华的博客
02-23 2282
mybatis#$区别 #{} 使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement时,sql语句中的参数会用?作占位,可以防止sql注入。 使用#{}时形成的sql语句,组成sql语句的时候把参数默认为字串,带有引,例: select * from student where id=#{id} 调用这个语句时可以通过后台看到打印出的sql...
MyBatis#$区别
最新发布
weixin_41939500的博客
07-05 304
时,参数值会直接拼接到SQL语句中,不会生成预编译的占位。这种方式适用于动态表名或列名,但存在SQL注入风险。时,MyBatis会生成预编译的SQL语句,参数值会被安全地替换为占位。这种方式可以有效防止SQL注入。直接拼接SQL,若参数值来自用户输入且未过滤,可能导致SQL注入。生成的预编译SQL可被数据库缓存,提高重复查询效率。用于参数替换,但两者的处理方式不同。每次拼接SQL,无法利用缓存。通过预编译机制避免此问题。会生成预编译的占位(即。会直接替换为参数值。
mybatis中的#$区别
weixin_43042787的博客
01-20 330
#相当于对数据加上双双引,KaTeX parse error: Expected 'EOF', got '#' at position 13: 相当于直接显示数据 1.#̲将传入的数据都当成一个字串,…将传入的数据直接显示生成在sql 3.#方式能够很大程度的防止sql注入 4.无法防止sql注入5.无法防止sql注入 5.无法防止sql注入5.方式一般用于传入sql数据库对象,例如表名 6....
面试常问:通过代码实践理解mybatis中的#$区别及联系,一定要正确使用
qq_36833673的博客
06-14 598
mybatis的mapper.xml中,入参我们可以用#$来取,那么,这两个有什么区别及联系呢,常说$容易带来sql注入风险,到底是怎么样的呢?今天,直接通过代码实践,看看两者有什么区别。 测试数据为: 1:通过#取值,入参为studentId,代码如下: <mapper namespace="com.example.demo.DAO.HelloWorldDAO"> <select id="query" parameterType="String" resul.
【ibatis】ibatis 中 $#区别
龙腾四海365的专栏
04-06 1725
ibatis 中 $#区别 我们在使用iBATIS时会经常用到#$这两个。 一 .#$区别说通俗一点就是          $中间的变量就是直接替换成值的          #会根据变量的类型来进行替换          比如articleTitle的类型是string, 值是"标题"的时候               $articleTitle$ = 标题
MyBatis#$区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 1913
#{}${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
Mybatis下动态sql中##$$区别讲解
08-26
Mybatis下动态sql中##$$区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis中,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis中,使用...
浅谈mybatis中的#$区别
09-02
MyBatis中,`#``$`是用来动态构造SQL语句的占位,它们的区别主要在于SQL预编译防止SQL注入的能力。理解这两种的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位: - `#`将传入的数据...
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
MyBatis#与美元区别
08-31
#{变量名}可以进行预编译、类型匹配等操作,#{变量名}会转化为jdbc的类型。很多朋友不清楚在mybatis#与美元的不同,接下来通过本文给大家介绍两者的区别,感兴趣的朋友参考下吧
Mybatis中防止SQL注入---mybatis中的#$区别------#{id}与${id}
money-k的博客
05-09 585
Mybatis中的#$区别: 1、# 通过日志查看: 因为MyBatis启用了预编译功能,在SQL执行前,会先将上面的SQL发送给数据库进行编译;执行时,直接使用编译好的SQL,替换占位“?”就可以了。因为SQL注入只能对编译过程起作用,所以这样的方式就很好地避免了SQL注入的问题。 2、$ 通过日志查看: 在MyBatis中,“${id}”这样格式的参数会直接参与SQL编译,从而不能避免注入攻击。但涉及到动态表名列名时,只能使用“${id}”这样的参数格式。所以,这样的参数需要我们在代码中手工
返回自增idid#{} ${}的区别 sql语句中的比较运算
weixin_52296931的博客
03-01 892
返回自增idid值 新增用户的是偶我们都是通过主键自增来完成的,所以不知道怎么查看增加的id值,我们可以喜阳光sql语句来完成返回邢增id值得操作 直接在接口对应的xml文件下面写代码,在mapper 里面 <!--添加用户信息--> <insert id="addUser" parameterType="user" > <!--使用内部的标签selectKey 获取新增用户的id值 resultType 返回值类型指定为int
注解CRUD中#$区别
ruo980的博客
07-31 192
//方法存在多个参数,所有的参数前面必须加上@Param(“id”)注解 @Delete(“delete from user where id = ${uid}”) int deleteUser(@Param(“uid”) int id); 关于@Param( )注解 基本类型的参数或者String类型,需要加上 引用类型不需要加 如果只有一个基本类型的话,可以忽略,但是建议大家都加上 我们在SQL中引用的就是我们这里的@Param()中设定的属性名 总结: 有两种方式带参:“$””#” 主要区别就是#带双
#{}${}的区别是什么?
weixin_44329885的博客
06-17 267
动态 sql 是 MyBatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 MyBatis 会对其进行动态解析。MyBatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 面试题:#{}${}的区别是什么? 1)#{}是预编译处理,$ {}是字串替换。 2)MyBatis在处理#{}时,会将SQL中的#{}替换为?,使用PreparedStatement的set方法来赋值;MyBatis在处理 $ { } 时,就是把 ${ } 替换成变量的值
day02 mybatis
Libra_97的博客
11-06 522
mybatis
MyBatis#{} ${} 的区别
qq_61504864的博客
09-25 531
使用#{} 时,MyBatis 会自动处理参数,以保护 SQL 执行的安全性,适用于大多数场景(尤其是插入、更新、删除等操作)。使用 ${} 时,参数会被直接替换到 SQL 语句中,适用于动态 SQL 生成(如动态表名),但需要小心处理输入,以避免 SQL 注入。因此,在判断何时使用这两种方式时,安全性应该是优先考虑的因素。建议尽可能使用 #{} 除非确实需要使用 ${}。
mybatis#$区别
12-30
### MyBatis 中 `#` `$` 区别 #### 占位功能差异 在 MyBatis 中,`#{}` `${}` 都可以作为占位来插入参数到 SQL 语句中。然而两者的工作机制存在显著不同。 当使用 `#{}` 形式的占位时,MyBatis 将其视为预处理语句 (PreparedStatement) 的参数绑定方式[^1]。这意味着实际的 SQL 发送到数据库之前会先由 JDBC 进行一次转义处理,从而有效防止 SQL 注入攻击的发生。 而采用 `${}` 方式,则是直接替换模板中的变量名为其对应的值字串,并不做任何额外的安全检查或转换操作[^2]。因此,在某些特殊情况下可能会引入潜在风险。 #### 使用场景对比 由于上述特性上的差别,这两种语法适用于不同的编程环境: - 对于大多数常规查询条件构建而言,推荐优先选用 `#{}` 结构以增强应用程序的整体安全性; - 当遇到一些无法通过标准 API 实现的需求——比如表名、列名动态指定等情况时,则可能不得不借助 `${}` 完成相应逻辑编码工作;不过此时应当格外谨慎对待输入验证环节[^3]。 #### 示例代码展示 下面给出一段简单的例子说明如何分别运用这两种表达形式编写 Mapper XML 文件内的 SELECT 语句: ```xml <!-- 正确做法 --> <select id="findUserById" parameterType="int" resultType="com.example.User"> SELECT * FROM users WHERE user_id = #{userId} </select> <!-- 错误示范:容易遭受注入威胁 --> <select id="findByTableName" parameterType="string" resultType="map"> SELECT * FROM ${tableName} <!-- 不建议这样写 --> </select> ```
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值