为了账号安全,请及时绑定邮箱和手机立即绑定

关于mybaties中#和$的区别?

/ 猿问

关于mybaties中#和$的区别?

一只斗牛犬 2019-09-10 16:10:41

mybaties中#和$的区别


查看完整描述

4 回答

?
慕尼黑8549860

#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".

2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sql为order by id.

3. #方式能够很大程度防止sql注入。

4.$方式无法防止Sql注入。</ol>5.$方式一般用于传入数据库对象,例如传入表名.
6.一般能用#的就别用$.
MyBatis排序时使用order by 动态参数时需要注意,用$而不是#
字符串替换默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用:ORDER BY ${columnName}这里MyBatis不会修改或转义字符串。重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。



查看完整回答
反对 回复 2019-09-14
?
月关宝盒

首先通过下面两条sql及打印的执行sql,清楚明了的看一下它们的区别:
<select id="selectUserInfo" parameterType="java.util.Map" resultType="java.util.Map">
select
*
from
user
where
userId=${id} password=#{pwd}
</select>12345678

假设入参传入的是1,打印执行sql如下:
Preparing:select * from user where id=1 and password=111111
<select id="selectUserInfo" parameterType="java.util.Map" resultType="java.util.Map">
select
*
from
user
where
userId=#{id} and password=#{pwd}
</select>12345678

同样入参传入1,打印的执行sql如下:
Preparing:select * from user where id=? and password=?
Parameters:1(String),111111(String)
MyBatis启用了预编译功能,在SQL执行前,会先将上面的SQL发送给数据库进行编译;执行时,如果入参为#{}格式的,将入参替换编译好的sql中的占位符“?”;如果入参格式为${},则直接使用编译好的SQL就可以了。因为SQL注入只能对编译过程起作用,所以使用#{}入参的方式可以很好地避免了SQL注入的问题。
mybatis预编译底层实现原理
MyBatis是如何做到SQL预编译的呢?其实在框架底层,是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行同一个SQL时,能够提高效率。原因是SQL已编译好,再次执行时无需再编译。
总结
#{}:相当于JDBC中的PreparedStatement
${}:是输出变量的值
简单说,#{}是经过预编译的,是安全的;${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。
番外(sql注入)
还是以上面的两条sql为例,入参id的值传入“1 or userId=2”,入参pwd的值传入“111111”。以#{}格式传入入参后的执行sql:
select * from user where userId=”1 or userId=2” and password = “111111”;
以${}格式传入入参后的执行sql:
select * from user where userId=1 or userId=2 and password = 111111;
很显然,以${}格式传入入参后的执行sql打乱了我们的预期sql格式及查询条件,从而实现sql注入。所以,除了order by 等需要传入数据库字段等的入参使用${},其他的尽量使用#{}。

查看完整回答
反对 回复 2019-09-14
?
慕姐829404

如果你学过jdbc编程,就知道java提供了2种statement,一种是拼写式sql语句的statement,这种方式对应你说的$,并且可以轻松的注入攻击;另一种是preparestatement,这种是预编译的statement,因为预编译,执行效率要更高,并且由于其拼写sql只能用?代替(即字符不需要带“ ' ”单引号,)它会自动的帮你根据数据类型加上单引号或不加,所以,使用此方式拼写sql语句不容易被注入攻击(或者根本不会),这就是对于你说的#。

查看完整回答
反对 回复 2019-09-14
?
白衣染霜花

mybatis预编译底层实现原理
MyBatis是如何做到SQL预编译的呢?其实在框架底层,是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行同一个SQL时,能够提高效率。原因是SQL已编译好,再次执行时无需再编译。
总结
#{}:相当于JDBC中的PreparedStatement
${}:是输出变量的值
简单说,#{}是经过预编译的,是安全的;${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。



查看完整回答
反对 回复 2019-09-14

添加回答

回复

举报

0/150
提交
取消
意见反馈 邀请有奖 帮助中心 APP下载
官方微信