淺談mybatis中的#和$的區(qū)別

更新時(shí)間：2016年06月23日 10:47:23 投稿：jingxian

下面小編就為大家?guī)硪黄獪\談mybatis中的#和$的區(qū)別。小編覺得挺不錯(cuò)的，現(xiàn)在就分享給大家，也給大家做個(gè)參考。一起跟隨小編過來看看吧

1. #將傳入的數(shù)據(jù)都當(dāng)成一個(gè)字符串，會(huì)對(duì)自動(dòng)傳入的數(shù)據(jù)加一個(gè)雙引號(hào)。如：order by #user_id#，如果傳入的值是111,那么解析成sql時(shí)的值為order by "111", 如果傳入的值是id，則解析成的sql為order by "id". 　　

2. $將傳入的數(shù)據(jù)直接顯示生成在sql中。如：order by $user_id$，如果傳入的值是111,那么解析成sql時(shí)的值為order by user_id, 如果傳入的值是id，則解析成的sql為order by id. 　　

3. #方式能夠很大程度防止sql注入?！　?/p>

4.$方式無法防止Sql注入。

5.$方式一般用于傳入數(shù)據(jù)庫對(duì)象，例如傳入表名. 　　

6.一般能用#的就別用$.

MyBatis排序時(shí)使用order by 動(dòng)態(tài)參數(shù)時(shí)需要注意，用$而不是#

字符串替換

默認(rèn)情況下，使用#{}格式的語法會(huì)導(dǎo)致MyBatis創(chuàng)建預(yù)處理語句屬性并以它為背景設(shè)置安全的值（比如?）。這樣做很安全，很迅速也是首選做法，有時(shí)你只是想直接在SQL語句中插入一個(gè)不改變的字符串。比如，像ORDER BY，你可以這樣來使用： ORDER BY ${columnName}

這里MyBatis不會(huì)修改或轉(zhuǎn)義字符串。

重要：接受從用戶輸出的內(nèi)容并提供給語句中不變的字符串，這樣做是不安全的。這會(huì)導(dǎo)致潛在的SQL注入攻擊，因此你不應(yīng)該允許用戶輸入這些字段，或者通常自行轉(zhuǎn)義并檢查。

以上就是小編為大家?guī)淼臏\談mybatis中的#和$的區(qū)別全部?jī)?nèi)容了，希望大家多多支持腳本之家~

您可能感興趣的文章:

mybatis

相關(guān)文章

JavaWeb實(shí)現(xiàn)壓縮多個(gè)文件并下載實(shí)例詳解
本文通過實(shí)例代碼給大家講解了javaweb實(shí)現(xiàn)壓縮多個(gè)文件并下載功能，非常不錯(cuò)，具有參考借鑒價(jià)值，需要的朋友參考下吧
2017-07-07
spring-boot報(bào)錯(cuò)java: 程序包javax.servlet.http不存在
當(dāng)springboot項(xiàng)目從2.7.x的升級(jí)到3.0.x的時(shí)候,會(huì)遇到一個(gè)問題java: 程序包javax.servlet.http不存在,下面就來具體介紹一下,感興趣的可以了解一下
2024-08-08
Java?JDBC高封裝Util類的項(xiàng)目實(shí)踐
這篇文章主要介紹了Java?JDBC高封裝Util類的項(xiàng)目實(shí)踐，文中通過示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
2023-08-08
SpringBoot對(duì)接clerk實(shí)現(xiàn)用戶信息獲取功能
Clerk是一個(gè)提供身份驗(yàn)證和用戶管理的服務(wù),可以幫助開發(fā)者快速集成這些功能,下面我們就來看看如何使用Spring?Boot對(duì)接Clerk實(shí)現(xiàn)用戶信息的獲取吧
2025-02-02
詳解如何配置Spring Batch批處理失敗重試機(jī)制
這篇文章主要來和大家一起探討一下如何在Spring批處理框架中配置重試邏輯，文中的示例代碼講解詳細(xì)，感興趣的小伙伴可以跟隨小編一起學(xué)習(xí)一下
2023-06-06
對(duì)Netty組件的基本介紹
這篇文章主要介紹了對(duì)Netty組件的基本介紹,Netty是基于Java NIO client-server的網(wǎng)絡(luò)應(yīng)用框架，使用Netty可以快速開發(fā)網(wǎng)絡(luò)應(yīng)用,本文涵蓋了netty開發(fā)中主要的組件的介紹,需要的朋友可以參考下
2021-06-06
關(guān)于thymeleaf判斷對(duì)象是否為空的相關(guān)邏輯處理
這篇文章主要介紹了關(guān)于thymeleaf判斷對(duì)象是否為空的相關(guān)邏輯處理，具有很好的參考價(jià)值，希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方，望不吝賜教
2022-10-10
Java實(shí)現(xiàn)UTF-8編碼與解碼方式
這篇文章主要介紹了Java實(shí)現(xiàn)UTF-8編碼與解碼方式，具有很好的參考價(jià)值，希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方，望不吝賜教
2023-04-04
Java數(shù)據(jù)結(jié)構(gòu)與算法之循環(huán)隊(duì)列的實(shí)現(xiàn)
循環(huán)隊(duì)列 (Circular Queue) 是一種特殊的隊(duì)列。循環(huán)隊(duì)列解決了隊(duì)列出隊(duì)時(shí)需要將所有數(shù)據(jù)前移一位的問題。本文將帶大家詳細(xì)了解循環(huán)隊(duì)列如何實(shí)現(xiàn)，需要的朋友可以參考一下
2021-12-12
java內(nèi)部測(cè)試類代碼詳解
這篇文章主要介紹了java內(nèi)部測(cè)試類代碼詳解，具有一定借鑒價(jià)值，需要的朋友可以參考下。
2017-12-12