mybatis中的#{}和${}区别

最新推荐文章于 2023-07-19 08:31:43 发布
转载 最新推荐文章于 2023-07-19 08:31:43 发布 · 182 阅读 · 0

本文详细解析了MyBatis中#与$符号在SQL语句中的不同作用及应用场景。#可以有效防止SQL注入,适用于大部分参数传递;$则用于直接插入字符串,如表名或列名,但存在SQL注入风险。文章强调了在动态SQL,特别是orderby子句中,正确选择#或$的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、#将传入的数据当成一个字符串,会对自动传入的数据加一个双引号。例如

order by #id#,如果传入的值是111,那么解析成sql时的值变为order by "111",如果传入的值是id,在解析成sql为order by "id"

其实原sql语句通常写成 order by #{id} 与order by #id#的效果一样

2
2、$将传入的数据直接显示在sql语句中。例如 order by ${id},如果传入的值是9则解析成sql语句为order by 9

3
3、#方式能够很大程度上防止sql注入,而$无法防止sql的注入,

  $一般用于传入数据库对象,例如传入表名

 一般能用#就别用$

mybatis排序时使用order by动态参数时需要住哟,使用$而不是#

=================================

1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".

2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sql为order by id.

3. #方式能够很大程度防止sql注入。 

4.$方式无法防止Sql注入。

5.$方式一般用于传入数据库对象,例如传入表名.

6.一般能用#的就别用$.

MyBatis排序时使用order by 动态参数时需要注意,用$而不是#

字符串替换

默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用:
ORDER BY ${columnName}

这里MyBatis不会修改或转义字符串。

重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。

mybatis本身的说明:

String Substitution
By default, using the #{} syntax will cause MyBatis to generate PreparedStatement properties and set the values safely against the PreparedStatement parameters (e.g. ?). While this is safer, faster and almost always preferred, sometimes you just want to directly inject a string unmodified into the SQL Statement. For example, for ORDER BY, you might use something like this:
ORDER BY ${columnName}
Here MyBatis won't modify or escape the string.
NOTE It's not safe to accept input from a user and supply it to a statement unmodified in this way. This leads to potential SQL Injection attacks and therefore you should either disallow user input in these fields, or always perform your own escapes and checks.


1. 使用#{}格式的语法在mybatis中使用Preparement语句来安全的设置值,执行sql类似下面的:

1
2
PreparedStatement ps = conn.prepareStatement(sql);
ps.setInt(1,id);

这样做的好处是:更安全,更迅速,通常也是首选做法。

2. 不过有时你只是想直接在 SQL 语句中插入一个不改变的字符串。比如,像 ORDER BY,你可以这样来使用:

1
ORDER BY ${columnName}

此时MyBatis 不会修改或转义字符串。

这种方式类似于:

Statement st = conn.createStatement();
ResultSet rs = st.executeQuery(sql);

--------------------- 
作者:xlj3 
来源:优快云 
原文:https://blog.youkuaiyun.com/luman1991/article/details/52623184/ 
版权声明:本文为博主原创文章,转载请附上博文链接!

MyBatis#$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 1912
#{}${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
Mybatis下动态sql中##$$区别讲解
08-26
Mybatis下动态sql中##$$区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis中,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis中,使用...
MyBatis#{}${}的区别详解
热门推荐
只作为个人备忘录
09-22 1万+
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id". 2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为
MyBatis#{} ${} 的区别
liuyuinsdu的专栏
03-12 1442
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS中 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
Mybatis #$
井底之蛙
03-16 1万+
mybatis的mapper文件中,对于传递的参数我们一般是使用#$来获取参数值。 当使用#时变量是占位符,就是一般我们使用java jdbc的PrepareStatement时的占位符?,所有可以防止sql注入 当使用$时,变量就是直接追加在sql中,一般会有sql注入问题。 一个问题就是:在使用mybatis传递时间变量时,如果通过#方式获取变量值,可能会出现与数据库的字段的
Mybatis$#区别
大鹏
08-10 1131
1 #是将传入的值当做字符串的形式, eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'. 2 $是将传入的数据直接显示生成sql语句 eg:select id,name,age from student where id =${id},当前端把id值1,传入到后台的时候,就相当于 select id,nam.
Mybatis#{...}${...}的区别
NewBeeMu的博客
08-31 301
#{…}:会把参数的位置使用“?”做占位符,执行SQL的时候才会替换“?”的值 ${…}:直接把参数中的值作为SQL的一部分来执行→可能会有SQL注入的问题 如何选用: ...:当插入的参数是作为SQL执行的一部分的时候必须使用{...}:当插入的参数是作为SQL执行的一部分的时候必须使用...:当插入的参数是作为SQL执行的一部分的时候必须使用{…} #{…}:当传入的参数是同数据库进行交互的时...
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$区别 在...
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis中的#$区别
09-02
MyBatis中,`#``$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
浅谈mybatis#{}${}的区别
weixin_30387799的博客
09-18 103
#{}:表示占位符,如果获取简单类型,#{}中可以使用value或其它名称。有效防止sql注入。使用#{}设置参数无需考虑参数的类型。 如果使用#{}比较日期字段,select* from tablename where birthday >=#{birthday} ${}:表示sql拼接,如果获取简单类型,#{}中只能使用...
Mybatis#$区别
dingqinghu的专栏
05-30 1万+
#号与$区别#号表示参数,$代表一个字符串。如: select a,b,c from table1 where id=#value#,传入参数后如:value="1", 则可生成:select a,b,c from table1 where id=‘1’。 select a,b,c from table1 where city like '%$value$%',传入参数后: valu
mybatis中的#{}${}
submorino的专栏
11-25 2545
mybatis中的#{}${} 1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}${}的区别 (1)   1)#{}为参数占位符?,即sql 预编译   2)${}为字符串替换,即sql 拼接 (2)   1)#{}:动态解析 ->预编译-> 执行   2)${}:动态解析 ->编译-> 执行 (3)   1)#{}的变量替换是在DBMS中   2)${}...
Mybatis(二) Mybatis#{}${}的区别详解
10-23 4162
Mybatis系列: Mybatis(一) Mybatis入门详解 Mybatis(二) Mybatis#{}${}的区别详解 Mybatis(三) Mybatis的Dao开发 Mybatis(四) Mybatis的高级查询 场景:假设数据库有两个数据一模一样的表。历史表,当前表 查询表中的信息,有时候从历史表中去查询数据,有时候需要去新的表去查询数据。 希望使用1个方法来完...
Mybatis中的$#
sillyyyy的博客
05-08 2760
在SQL语句执行时,Mybatis会将$占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用$占位符可以在某些情况下提高SQL语句的性能,因为在预编译时不需要处理参数占位符。#用于预编译,表示参数占位符,例如:#{username}。在SQL语句执行时,Mybatis会将占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用#占位符可以有效地防止SQL注入攻击,因为Mybatis会将参数值转义后再替换占位符。使用哪种占位符取决于具体的需求,如果需要防止SQL注入攻击,则应该使用#占位符;
Mybatis#{}${}的区别是什么?
Tine Aine
06-15 667
#{}是占位符,通过预编译处理;${}是拼接符,通过字符串替换,非预编译处理。 #{}可以放置SQL注入攻击;${}不能防止SQL注入攻击 Mybatis会将SQL中的#{}替换为?,并通过PreparedStatement的set方法进行赋值;但Mybatis会直接将${}替换为变量的值,相当于使用的是Statement方式进行编译 ...
mybatis#{}${}的区别是什么?
weixin_43895008的博客
05-16 203
1) #{}是预编译处理, ${}是字符串替换。 2) Mybatis 在处理#{}时,会将 sql 中的#{}替换为?号,调用 PreparedStatement 的 set 方法来赋值; 3) Mybatis 在处理${}时,就是把${}替换成变量的值。 4)使用#{}可以有效的防止 SQL 注入,提高系统安全性。 ...
Mybatis#{} ${}的区别是什么?
甜到你了么的博客
06-21 210
#{}是预编译处理,${}是字符串替换; Mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值; Mybatis在处理${}时,就是把${}替换成变量的值; 使用#{}可以有效的防止SQL注入,提高系统安全性。 ...
一文解惑mybatis中的#{}${}
一个菜鸡的博客
07-19 6152
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
mybatis#$区别
最新发布
12-30
### MyBatis 中 `#` `$` 符号的区别 #### 占位符功能差异 在 MyBatis 中,`#{}` `${}` 都可以作为占位符来插入参数到 SQL 语句中。然而两者的工作机制存在显著不同。 当使用 `#{}` 形式的占位符时,MyBatis 将其视为预处理语句 (PreparedStatement) 的参数绑定方式[^1]。这意味着实际的 SQL 发送到数据库之前会先由 JDBC 进行一次转义处理,从而有效防止 SQL 注入攻击的发生。 而采用 `${}` 方式,则是直接替换模板中的变量名为其对应的值字符串,并不做任何额外的安全检查或转换操作[^2]。因此,在某些特殊情况下可能会引入潜在风险。 #### 使用场景对比 由于上述特性上的差别,这两种语法适用于不同的编程环境: - 对于大多数常规查询条件构建而言,推荐优先选用 `#{}` 结构以增强应用程序的整体安全性; - 当遇到一些无法通过标准 API 实现的需求——比如表名、列名动态指定等情况时,则可能不得不借助 `${}` 完成相应逻辑编码工作;不过此时应当格外谨慎对待输入验证环节[^3]。 #### 示例代码展示 下面给出一段简单的例子说明如何分别运用这两种表达形式编写 Mapper XML 文件内的 SELECT 语句: ```xml <!-- 正确做法 --> <select id="findUserById" parameterType="int" resultType="com.example.User"> SELECT * FROM users WHERE user_id = #{userId} </select> <!-- 错误示范:容易遭受注入威胁 --> <select id="findByTableName" parameterType="string" resultType="map"> SELECT * FROM ${tableName} <!-- 不建议这样写 --> </select> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值