文章详情

登录

短信预约-IT技能 免费直播动态提醒

选择考试省份

  • 北京
  • 上海
  • 天津
  • 重庆
  • 河北
  • 山东
  • 辽宁
  • 黑龙江
  • 吉林
  • 甘肃
  • 青海
  • 河南
  • 江苏
  • 湖北
  • 湖南
  • 江西
  • 浙江
  • 广东
  • 云南
  • 福建
  • 海南
  • 山西
  • 四川
  • 陕西
  • 贵州
  • 安徽
  • 广西
  • 内蒙
  • 西藏
  • 新疆
  • 宁夏
  • 兵团

请输入下面的图形验证码

提交验证

短信预约提醒成功

Mybatis——#{}和${}的区别

2023-09-13 08:25

关注

在使用mybatis的时候我们会使用到#{}和${}这两个符号来为sql语句传参数,那么这两者有什么区别呢?

  1. #{}是预编译处理,是占位符,${}是字符串替换,是拼接符

  2. Mybatis在处理#{}的时候会将sql中的#{}替换成?号,调用PreparedStatement来赋值
    如:

select * from user where name = #{userName};

设userName=yuze

看日志我们可以看到解析时将#{userName}替换成了 

select * from user where name = ?;

然后再把yuze放进去,外面加上单引号

  1. Mybatis在处理 的时候就是把 {}的时候就是把 {}替换成变量的值,调用Statement来赋值
    如:
select * from user where name = #{userName};

设userName=yuze

看日志可以发现就是直接把值拼接上去了

select * from user where name = yuze;

这极有可能发生sql注入,下面举了一个简单的sql注入案例
这是一条用户的账号、密码数据
在这里插入图片描述

当用户登录,我们验证账号密码是否正确时用这个sql:

username=yyy;password=123

select * from user where username=${username} and password=${password}

显然这条sql没问题可以查出来,但是如果有人不知道密码但是想登录账号怎么办

我们不需要填写正确的密码:

密码输入1 or 1=1,sql执行的其实是

select * from user where username='yyy' and password=1 or 1 =1

  1. #{}的变量替换是在DBMS中、变量替换后,#{}对应的变量自动加上单引号

  2. 的 变 量 替 换 是 在 D B M S 外 、 变 量 替 换 后 , {}的变量替换是在DBMS外、变量替换后, DBMS{}对应的变量不会加上单引号

  3. 使用#{}可以有效的防止sql注入,提高系统的安全性

来源地址:https://blog.csdn.net/weixin_44688973/article/details/125671926

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题

  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看

  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看

  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看

  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看

  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机

Mybatis——#{}和${}的区别

数据库2023-09-13

Mybatis中#和$的区别

数据库2023-09-02

【mybatis和mybatisplus的区别】

数据库2023-09-07

mybatis中的#和$的区别

数据库2023-06-02

mybatis中#{}和${}的区别详解

数据库2024-04-02

mybatis collection和association的区别解析

数据库2024-04-02

MyBatis中的#{}和${}有什么区别

数据库2023-06-21

Mybatis中#和$的区别是什么

数据库2023-06-22

mybatis和jdbc的区别是什么

mybatis和jdbc的区别是什么
数据库2024-03-07

mybatis createcriteria和or的区别说明

数据库2024-04-02

MyBatis ofType和javaType的区别说明

数据库2024-04-02

Hibernate和MyBatis的区别是什么

数据库2024-04-02

MyBatis中#{}和${}有哪些区别

数据库2024-04-02

MyBatis ofType和javaType的区别是什么

数据库2023-06-29

详解Mybatis中javaType和ofType的区别

数据库2023-05-20

mybatis和hibernate有哪些区别

数据库2023-06-03

Hibernate和MyBatis有哪些区别

数据库2024-04-02

mybatis中${}和#{}取值的区别分析

数据库2024-04-02

mybatis 中 #与$ 的区别?

数据库2024-04-02

MyBatis中的sqlSessionFactory和sqlSession有什么区别

MyBatis中的sqlSessionFactory和sqlSession有什么区别
数据库2024-04-09
位置:首页-资讯-数据库
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载问答资讯