快捷導(dǎo)航

淺談mybatis中的#和$的區(qū)別以及防止sql注入的方法

更新時間：2016年10月21日 09:50:17 投稿：jingxian

下面小編就為大家?guī)硪黄獪\談mybatis中的#和$的區(qū)別以及防止sql注入的方法。小編覺得挺不錯的，現(xiàn)在就分享給大家，也給大家做個參考。一起跟隨小編過來看看吧

mybatis中的#和$的區(qū)別

1. #將傳入的數(shù)據(jù)都當(dāng)成一個字符串，會對自動傳入的數(shù)據(jù)加一個雙引號。如：order by #user_id#，如果傳入的值是111,那么解析成sql時的值為order by "111", 如果傳入的值是id，則解析成的sql為order by "id".
　　
2. $將傳入的數(shù)據(jù)直接顯示生成在sql中。如：order by $user_id$，如果傳入的值是111,那么解析成sql時的值為order by user_id, 如果傳入的值是id，則解析成的sql為order by id.
　　
3. #方式能夠很大程度防止sql注入。
　　
4.$方式無法防止Sql注入。

5.$方式一般用于傳入數(shù)據(jù)庫對象，例如傳入表名.
　　
6.一般能用#的就別用$.

防止Sql注入

注意：SQL語句不要寫成select * from t_stu where s_name like '%$name$%',這樣極易受到注入攻擊。

”${xxx}”這樣格式的參數(shù)會直接參與sql編譯，從而不能避免注入攻擊。但涉及到動態(tài)表名和列名時，只能使用“${xxx}”這樣的參數(shù)格式。

在編寫mybatis的映射語句時，盡量采用“#{xxx}”這樣的格式。若不得不使用“${xxx}”這樣的參數(shù)，要手工地做好過濾工作，來防止sql注入攻擊。

例子

<sql id="condition_where">  
  <isNotEmpty property="companyName" prepend=" and ">  
    t1.company_name like #companyName#  
  </isNotEmpty>  
</sql>

java代碼和你原來的差不多，其實(shí)也沒什么不好，你要覺得麻煩把判斷null和'%'封裝到一個方法里就可以了

if (!StringUtil.isEmpty(this.companyName)) {  
  table.setCompanyName("%" + this.companyName + "%");  
}

以上就是小編為大家?guī)淼臏\談mybatis中的#和$的區(qū)別以及防止sql注入的方法全部內(nèi)容了，希望大家多多支持腳本之家~

您可能感興趣的文章:

相關(guān)文章

java 算法二分查找和折半查找
這篇文章主要介紹了java 算法二分查找與折半查找的相關(guān)資料,需要的朋友可以參考下
2017-05-05
Maven如何構(gòu)建可執(zhí)行的jar包(包含依賴jar包)
這篇文章主要介紹了Maven如何構(gòu)建可執(zhí)行的jar包(包含依賴jar包) ，小編覺得挺不錯的，現(xiàn)在分享給大家，也給大家做個參考。一起跟隨小編過來看看吧
2018-11-11
SpringCloudAlibaba Nacos開啟鑒權(quán)解決跳過登錄頁面問題
對于Nacos,如果需要開啟權(quán)限控制,可以在 Nacos 控制臺上進(jìn)行配置,本文主要介紹了SpringCloudAlibaba Nacos開啟鑒權(quán)解決跳過登錄頁面問題,感興趣的可以了解一下
2023-10-10
詳細(xì)介紹Java關(guān)鍵字throw?throws?Throwable的用法與區(qū)別
這篇文章主要介紹了java中throws與throw及Throwable的用法和區(qū)別，文中通過示例代碼介紹的非常詳細(xì)，對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值，需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
2022-04-04
Java實(shí)現(xiàn)的串口通信功能示例
這篇文章主要介紹了Java實(shí)現(xiàn)的串口通信功能,結(jié)合實(shí)例形式分析了java串口通信的具體操作步驟與相關(guān)注意事項(xiàng),需要的朋友可以參考下
2018-01-01
SpringCloud客戶端的負(fù)載均衡Ribbon的實(shí)現(xiàn)
微服務(wù)架構(gòu)，不可避免的存在單個微服務(wù)有多個實(shí)例，這篇文章主要介紹了SpringCloud客戶端的負(fù)載均衡Ribbon的實(shí)現(xiàn)，小編覺得挺不錯的，現(xiàn)在分享給大家，也給大家做個參考。一起跟隨小編過來看看吧
2018-06-06
Java自動化工具Ant的基礎(chǔ)使用教程
這篇文章主要介紹了Java自動化工具Ant的基礎(chǔ)使用教程,例子在Windows系統(tǒng)下操作演示,講解了Ant基本的文件操作和屬性,需要的朋友可以參考下
2016-02-02
通過源代碼分析Mybatis的功能流程詳解
這篇文章主要介紹了通過源代碼分析Mybatis的功能,本文給大家介紹的非常詳細(xì)，對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值，需要的朋友可以參考下
2020-08-08
Mybatis-Plus?CRUD操作方法
通用?Service?CRUD?封裝?IService?接口，進(jìn)一步封裝?CRUD?采用?get?查詢、remove?刪除?、list?查詢集合、page?分頁的前綴命名方式區(qū)分?Mapper?層避免混淆，這篇文章主要介紹了Mybatis-Plus?CRUD的相關(guān)知識,需要的朋友可以參考下
2023-10-10
MyBatis高級映射ResultMap解決屬性問題
對于數(shù)據(jù)庫中對表的增刪改查操作，我們知道增刪改都涉及的是單表，而只有查詢操作既可以設(shè)計到單表操作又可以涉及到多表操作，所以對于輸入映射parameterType而言是沒有所謂的高級映射的，也就是說高級映射只針對于輸出映射
2023-02-02