mybatis中的#{}和${}的区别
1.#{} 将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。
如:order by #{user_id},如果传入的值是111,那么解析成sql时的值为order by "111",
如果传入的值是id,则解析成的sql为order by "id".
2.$将传入的数据直接显示生成在sql中。如:order by ${user_id},如果传入的值是111,那么解析成sql时的值为order by 111,
如果传入的值是id,则解析成的sql为order by id.
3.#{}方式能够很大程度防止sql注入。
4.$方式无法防止Sql注入。
5.$方式一般用于传入数据库对象,例如传入表名.
6.一般能用#的就别用$.
7.#{}实现的是向prepareStatement中的预处理语句中设置参数值,sql语句中#{}表示一个占位符即?。
8.通过${}可以将parameterType传入的内容拼接在sql中且不进行jdbc类型转换
MyBatis排序时使用order by 动态参数时需要注意,用$而不是#
补充模糊查询
1.表达式: name like"%"#{name}"%" #起到占位符的作用
2.表达式: name like '%${name}%' $进行字符串的拼接,直接把传入的值,拼接上去了,没有任何问题
3. 表达式: name likeconcat(concat('%',#{username}),'%') 这是使用了cancat进行字符串的连接,同时使用了#进行占位
4. 表达式:name like CONCAT('%','${name}','%') 对上面的表达式进行了简化,更方便了
sql注入攻击实例参考https://blog.csdn.net/weixin_42045038/article/details/82766461
就是通过${}运算符的特性在后面在此拼接查询语句或者删除语句等
所以输入:1’ union select user,password from users#进行查询:实际执行的SQL语句是:
select first_name,last_name from users where user_id = '1' union select user,password from users#';
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· Linux系列:如何用heaptrack跟踪.NET程序的非托管内存泄露
· 开发者必知的日志记录最佳实践
· SQL Server 2025 AI相关能力初探
· Linux系列:如何用 C#调用 C方法造成内存泄露
· AI与.NET技术实操系列(二):开始使用ML.NET
· 无需6万激活码!GitHub神秘组织3小时极速复刻Manus,手把手教你使用OpenManus搭建本
· C#/.NET/.NET Core优秀项目和框架2025年2月简报
· 什么是nginx的强缓存和协商缓存
· 一文读懂知识蒸馏
· Manus爆火,是硬核还是营销?