MyBatis中$与#的区别解析

2025-07-11 18:50
文章标签 区别 解析 mybatis

本文主要是介绍MyBatis中$与#的区别解析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

《MyBatis中$与#的区别解析》文章浏览阅读314次,点赞4次,收藏6次。MyBatis使用#{}作为参数占位符时,会创建预处理语句(PreparedStatement),并将参数值作为预处理语句...

一、介绍

#(井号):MyBATis使用#{}作为参数占位符时,会创建预处理语句(Prepared Statement),并将参数值作为预处理语句的参数绑定到SQL语句中。

使用#可以防止SQL注入攻击,因为MyBatis会自动对参数值进行转义处理。

#{}内部可以是参数的名称或者参数的索引位置(例如#{param1}或者#{1})。

SELECT * FROM users WHERE username = #{username}

$(美元符号):MyBatis使用${}作为参数占位符时,不会创建预处理语句。而是直接将参数值拼接到SQL语句中。

使用$不会对参数值进行转义,因此容易受到SQL注入攻击,除非参数值是可信的或者已经进行了适当的处理。

${}内部通常是参数的名称。

SELECT * FROM ${tableName} WHERE id = #{id}

$和#的主要区别:

a、安全性:#提供预处理语句的参数绑定,更安全,可以有效防止SQL注入;$直接将参数值拼接到SQL语句中,存在SQL注入的风险。

b、性能:#通常性能更好,因为预处理语句可以重复使用,而$每次都会生成新的SQL语句。

c、使用场景:#适用于大多数情况,特别是当参数是用户输入时;$适用于需要动态指定表名或列名的情况,因为这些部分不能作为预处理语句的参数。

因此,除非有特殊需求,通常推荐使用#来提高SQL语句的安全性和性能。

二、sql注入风险实例

1、存在 SQL 注入风险的情况(使用 $):

// Mapper 接口
public interface UserMapper {
    User selectUserByUsername(String username);
}
// XML 映射文件(存在注入风险)
<select id="selectUserByUsername" resultType="User">
    SELECT * FROM users WHERE username = '${usernameandroid}'
</select>python

攻击示例:当输入的 username 为 ' ORjs '1'='1 时,最终生成的 SQL 语句如下:

SELECT * FROM users WHERE username = '' OR '1'='1'

这个 SQL 语句会让所有用户记录都被返回。

2、安全处理方式(使用#)

// Mapper 接口
public interface UserMapper {
    User selectUserByUsername(String username);
}
// XML 映php射文件(安全)
<select id="selectUserByUsername" resultType="User">
    SELECT * FChina编程ROM users WHERE username = #{username}
</select>

3、预编译过程

编译后的 SQL:SELECT * FROM users WHERE username = ?
实际执行时:如果输入的 username 是 ' OR '1'='1,JDBC 会对其进行转义,转义后的值为 \' OR \'1\'=\'1。
最终效果:查询会去匹配一个名为 ' OR '1'='1 的用户,显然这样的用户是不存在的,注入攻击也就失败了。

到此这篇关于mybaits中$与#的区别解析的文章就介绍到这了,更多相关mybaits $与#区别内容请搜索China编程(www.chinasem.cn)以前的文章或继续浏览下面的相关文章希望大家以后多多支持编程China编程(www.chinasem.cn)!

这篇关于MyBatis中$与#的区别解析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1155360

相关文章

深度解析Java @Serial 注解及常见错误案例

《深度解析Java@Serial注解及常见错误案例》Java14引入@Serial注解,用于编译时校验序列化成员,替代传统方式解决运行时错误,适用于Serializable类的方法/字段,需注意签... 目录Java @Serial 注解深度解析1. 注解本质2. 核心作用(1) 主要用途(2) 适用位置3

Java MCP 的鉴权深度解析

《JavaMCP的鉴权深度解析》文章介绍JavaMCP鉴权的实现方式,指出客户端可通过queryString、header或env传递鉴权信息,服务器端支持工具单独鉴权、过滤器集中鉴权及启动时鉴权... 目录一、MCP Client 侧(负责传递,比较简单)(1)常见的 mcpServers json 配置

从原理到实战解析Java Stream 的并行流性能优化

《从原理到实战解析JavaStream的并行流性能优化》本文给大家介绍JavaStream的并行流性能优化:从原理到实战的全攻略,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的... 目录一、并行流的核心原理与适用场景二、性能优化的核心策略1. 合理设置并行度:打破默认阈值2. 避免装箱

Maven中生命周期深度解析与实战指南

《Maven中生命周期深度解析与实战指南》这篇文章主要为大家详细介绍了Maven生命周期实战指南,包含核心概念、阶段详解、SpringBoot特化场景及企业级实践建议,希望对大家有一定的帮助... 目录一、Maven 生命周期哲学二、default生命周期核心阶段详解(高频使用)三、clean生命周期核心阶

深入解析C++ 中std::map内存管理

《深入解析C++中std::map内存管理》文章详解C++std::map内存管理,指出clear()仅删除元素可能不释放底层内存,建议用swap()与空map交换以彻底释放,针对指针类型需手动de... 目录1️、基本清空std::map2️、使用 swap 彻底释放内存3️、map 中存储指针类型的对象

Java Scanner类解析与实战教程

《JavaScanner类解析与实战教程》JavaScanner类(java.util包)是文本输入解析工具,支持基本类型和字符串读取,基于Readable接口与正则分隔符实现,适用于控制台、文件输... 目录一、核心设计与工作原理1.底层依赖2.解析机制A.核心逻辑基于分隔符(delimiter)和模式匹

Java+AI驱动实现PDF文件数据提取与解析

《Java+AI驱动实现PDF文件数据提取与解析》本文将和大家分享一套基于AI的体检报告智能评估方案,详细介绍从PDF上传、内容提取到AI分析、数据存储的全流程自动化实现方法,感兴趣的可以了解下... 目录一、核心流程:从上传到评估的完整链路二、第一步:解析 PDF,提取体检报告内容1. 引入依赖2. 封装

Go之errors.New和fmt.Errorf 的区别小结

《Go之errors.New和fmt.Errorf的区别小结》本文主要介绍了Go之errors.New和fmt.Errorf的区别,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考... 目录error的基本用法1. 获取错误信息2. 在条件判断中使用基本区别1.函数签名2.使用场景详细对

Redis中哨兵机制和集群的区别及说明

《Redis中哨兵机制和集群的区别及说明》Redis哨兵通过主从复制实现高可用,适用于中小规模数据;集群采用分布式分片,支持动态扩展,适合大规模数据,哨兵管理简单但扩展性弱,集群性能更强但架构复杂,根... 目录一、架构设计与节点角色1. 哨兵机制(Sentinel)2. 集群(Cluster)二、数据分片

深度解析Python yfinance的核心功能和高级用法

《深度解析Pythonyfinance的核心功能和高级用法》yfinance是一个功能强大且易于使用的Python库,用于从YahooFinance获取金融数据,本教程将深入探讨yfinance的核... 目录yfinance 深度解析教程 (python)1. 简介与安装1.1 什么是 yfinance?