脚本之家 服务器常用软件
快捷导航
您的位置:首页软件编程java → mybatis  $与#区别

MyBatis中$与#的区别解析

 更新时间:2025年07月11日 11:41:05   作者:dummy_(:зゝ∠)_  
文章浏览阅读314次,点赞4次,收藏6次。MyBatis使用#{}作为参数占位符时,会创建预处理语句(Prepared Statement),并将参数值作为预处理语句的参数绑定到SQL语句中。使用。

一、介绍

#(井号):MyBatis使用#{}作为参数占位符时,会创建预处理语句(Prepared Statement),并将参数值作为预处理语句的参数绑定到SQL语句中。

使用#可以防止SQL注入攻击,因为MyBatis会自动对参数值进行转义处理。

#{}内部可以是参数的名称或者参数的索引位置(例如#{param1}或者#{1})。

SELECT * FROM users WHERE username = #{username}

$(美元符号):MyBatis使用${}作为参数占位符时,不会创建预处理语句。而是直接将参数值拼接到SQL语句中。

使用$不会对参数值进行转义,因此容易受到SQL注入攻击,除非参数值是可信的或者已经进行了适当的处理。

${}内部通常是参数的名称。

SELECT * FROM ${tableName} WHERE id = #{id}

$和#的主要区别:

a、安全性:#提供预处理语句的参数绑定,更安全,可以有效防止SQL注入;$直接将参数值拼接到SQL语句中,存在SQL注入的风险。

b、性能:#通常性能更好,因为预处理语句可以重复使用,而$每次都会生成新的SQL语句。

c、使用场景:#适用于大多数情况,特别是当参数是用户输入时;$适用于需要动态指定表名或列名的情况,因为这些部分不能作为预处理语句的参数。

因此,除非有特殊需求,通常推荐使用#来提高SQL语句的安全性和性能。

二、sql注入风险实例

1、存在 SQL 注入风险的情况(使用 $):

// Mapper 接口
public interface UserMapper {
    User selectUserByUsername(String username);
}
// XML 映射文件(存在注入风险)
<select id="selectUserByUsername" resultType="User">
    SELECT * FROM users WHERE username = '${username}'
</select>

攻击示例:当输入的 username 为 ' OR '1'='1 时,最终生成的 SQL 语句如下:

SELECT * FROM users WHERE username = '' OR '1'='1'

这个 SQL 语句会让所有用户记录都被返回。

2、安全处理方式(使用#)

// Mapper 接口
public interface UserMapper {
    User selectUserByUsername(String username);
}
// XML 映射文件(安全)
<select id="selectUserByUsername" resultType="User">
    SELECT * FROM users WHERE username = #{username}
</select>

3、预编译过程

编译后的 SQL:SELECT * FROM users WHERE username = ?
实际执行时:如果输入的 username 是 ' OR '1'='1,JDBC 会对其进行转义,转义后的值为 \' OR \'1\'=\'1。
最终效果:查询会去匹配一个名为 ' OR '1'='1 的用户,显然这样的用户是不存在的,注入攻击也就失败了。

到此这篇关于mybaits中$与#的区别解析的文章就介绍到这了,更多相关mybaits $与#区别内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:

相关文章

  • SpringBoot集成Flyway进行数据库版本迁移管理的步骤

    SpringBoot集成Flyway进行数据库版本迁移管理的步骤

    这篇文章主要介绍了SpringBoot集成Flyway进行数据库版本迁移管理的步骤,帮助大家更好的理解和学习使用SpringBoot框架,感兴趣的朋友可以了解下
    2021-03-03
  • SpringBoot JPA sort多属性排序实例

    SpringBoot JPA sort多属性排序实例

    这篇文章主要介绍了SpringBoot JPA sort多属性排序实例,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2021-11-11
  • SpringBoot利用Junit动态代理实现Mock方法

    SpringBoot利用Junit动态代理实现Mock方法

    说到Spring Boot 单元测试主要有两个主流集成分别是Mockito,Junit,这个各有特点,在实际开发中,我想要的测试框架应该是这个框架集成者,本文给大家介绍了SpringBoot利用Junit动态代理实现Mock方法,需要的朋友可以参考下
    2024-04-04
  • Java多态性抽象类与接口细致详解

    Java多态性抽象类与接口细致详解

    这篇文章主要给大家介绍了关于Java中方法使用的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2021-08-08
  • 解决idea的debug模式突然变卡,项目启动变慢的状况

    解决idea的debug模式突然变卡,项目启动变慢的状况

    这篇文章主要介绍了解决idea的debug模式突然变卡,项目启动变慢的状况,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
    2021-02-02
  • 关于Java的HashMap多线程并发问题分析

    关于Java的HashMap多线程并发问题分析

    HashMap是采用链表解决Hash冲突,因为是链表结构,那么就很容易形成闭合的链路,这样在循环的时候只要有线程对这个HashMap进行get操作就会产生死循环,本文针对这个问题进行分析,需要的朋友可以参考下
    2023-05-05
  • Spring Boot 访问安全之认证和鉴权详解

    Spring Boot 访问安全之认证和鉴权详解

    这篇文章主要介绍了Spring Boot 访问安全之认证和鉴权,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2021-11-11
  • Java Stream常用方法合集(超详细)

    Java Stream常用方法合集(超详细)

    Stream API 提供了一种更为简洁高效的的方式来处理集合数据,  可读性较高, 所以本文为大家整理了Java Stream中的常用方法,希望对大家有所帮助
    2023-07-07
  • Spring中Controller应用深入理解

    Spring中Controller应用深入理解

    这篇文章主要介绍了Spring项目中的Controller,Spring Controller本身也是一个Spring Bean,只是它多提供了Web能力,只需要造类上提供@Controller注解即可
    2022-12-12
  • Java While循环 do-while循环用法

    Java While循环 do-while循环用法

    循环语句就是让计算机根据条件做循环计算,在条件满足时继续循环,条件不满足时退出循环,需要的朋友可以参考下
    2020-11-11

最新评论