信息发布→ 登录 注册 退出

一篇文章弄懂Mybatis中#和$的区别

发布时间:2026-01-11

点击量:
目录
  • 前言
  • 一:下面我们写个关于“#”的个sql,看能不能注入。
    • 1.正常传参
    • 2.拼接传参
  • 二:下面我们写个关于“$”的个sql,看能不能注入。
    • 1.正常传参
    • 2.拼接传参
  • 总结

    前言

    在学校的时候,想必大家肯定听老师讲过,在mybatis中,配置参数要用#,不要用$符号。因为$不安全,容易被sql注入。讲是这么讲,但是如何注入的,大家一起来看看吧。

    一:下面我们写个关于“#”的个sql,看能不能注入。

     <select id="selectUser" resultMap="BaseResultMap">
    SELECT 
    	acc.user_name FROM dfws_sys_user_account AS acc
    WHERE
        acc.user_name like #{userName}
  </select>

    1.正常传参

    DfwsSysUserAccount user = new DfwsSysUserAccount();
user.setUserName("wanglingzhi");
List<DfwsSysUserAccount> list = userAccountService.selectUser(user);
if(list!=null && list.size()>0){
    for (DfwsSysUserAccount u:list) {
    	System.out.println("用户名:"+u.getUserName());
    }
}else{
        System.out.println("暂无数据");
}

    sql打印:

    Preparing: SELECT acc.user_name FROM dfws_sys_user_account AS acc WHERE acc.user_name = ? 

    Parameters: wanglingzhi(String)

    2.拼接传参

    DfwsSysUserAccount user = new DfwsSysUserAccount();
user.setUserName("'wanglingzhi' or acc.user_name = 'shuizhong'");
List<DfwsSysUserAccount> list = userAccountService.selectUser(user);
if(list!=null && list.size()>0){
    for (DfwsSysUserAccount u:list) {
    	System.out.println("用户名:"+u.getUserName());
    }
}else{
        System.out.println("暂无数据");
}

    sql打印:

    Preparing: SELECT acc.user_name FROM dfws_sys_user_account AS acc WHERE acc.user_name = ? 

    Parameters: wanglingzhi or acc.user_name = shuizhong(String)

    二:下面我们写个关于“$”的个sql,看能不能注入。

    <select id="selectUser" resultMap="BaseResultMap">
    SELECT 
    	acc.user_name FROM dfws_sys_user_account AS acc
    WHERE
        acc.user_name like ${userName}
  </select>

    1.正常传参

    DfwsSysUserAccount user = new DfwsSysUserAccount();
user.setUserName("'wanglingzhi'");
List<DfwsSysUserAccount> list = userAccountService.selectUser(user);
if(list!=null && list.size()>0){
    for (DfwsSysUserAccount u:list) {
    	System.out.println("用户名:"+u.getUserName());
    }
}else{
        System.out.println("暂无数据");
}

    打印sql:

    SELECT acc.user_name FROM dfws_sys_user_account AS acc WHERE acc.user_name = 'wanglingzhi'

    2.拼接传参

    DfwsSysUserAccount user = new DfwsSysUserAccount();
user.setUserName("'wanglingzhi' or acc.user_name = 'shuizhong'");
List<DfwsSysUserAccount> list = userAccountService.selectUser(user);
if(list!=null && list.size()>0){
    for (DfwsSysUserAccount u:list) {
    	System.out.println("用户名:"+u.getUserName());
    }
}else{
        System.out.println("暂无数据");
}

    打印sql:

    SELECT acc.user_name FROM dfws_sys_user_account AS acc WHERE acc.user_name = 'wanglingzhi' or acc.user_name = 'shuizhong' 

    很显然,这里已经sql注入了。

    总结下,一般说来,二者的区别可总结为以下6点:

    (1)#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111",如果传入的值是id,则解析成的sql为order by "id"。

    (2)$将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sql为order by id。

    (3)#方式在很大程度上能够防止sql注入。

    (4)$方式无法防止sql注入。

    (5)$方式一般用于传入数据库对象,例如传入表名。

    (6)一般能用#的就别用$。

    ps:在使用mybatis中还遇到<![CDATA[]]>的用法,在该符号内的语句,将不会被当成字符串来处理,而是直接当成sql语句,比如要执行一个存储过程。

    总结

    标签:# 很大程度上  # pre  # java  # brush  # lt  # select  # 在学校  # 双引号  # 存储过程  # 讲过  # 就别  # 不安全  # 如要  # 不要用  # 看吧  # mybatis中$和&区别  # 大家一起  # 会对  # 要用  # 值为  # 暂无  # Mybatis中#{}与${}的区别详解  # Java Mybatis中的 ${ } 和 #{ }的区别使用详解  # 浅谈mybatis中的#和$的区别  # Mybatis下动态sql中##和$$的区别讲解  # 浅谈mybatis中的#和$的区别 以及防止sql注入的方法  # MyBatis中#{}和${}的区别详解  # Mybatis中#{}和${}传参的区别及#和$的区别小结  # mybatis中$和&区别面试题  # mybatis #和$比较  

    上一篇:Java 自定义注解在登录验证的应用示例

    下一篇:基于Redis实现阻塞队列的方式

    返回
    在线客服
    服务热线

    服务热线

    4008888355

    微信咨询
    二维码
    返回顶部
    ×二维码

    截屏,微信识别二维码

    打开微信

    微信号已复制,请打开微信添加咨询详情!