sql語句中#{}和${}的區別
#將傳入的資料都當成一個字串,會對自動傳入的資料加一個雙引號。如:order by #user_id#,如果傳入的值是111,那麼解析成sql時的值為order by “111”, 如果傳入的值是id,則解析成的sql為order by “id”。
$將傳入的資料直接顯示生成在sql中。如:order by userid,如果傳入的值是111,那麼解析成sql時的值為order by user_id, 如果傳入的值是id,則解析成的sql為order by id。
#方式能夠很大程度防止sql注入;$方式無法防止Sql注入。
$方式一般用於傳入資料庫物件,例如傳入表名。
一般能用#的就別用 。 M y B a t i s 排 序 時 使 用 o r d e r b y 動 態 參 數 時 需 要 注 意 , 用 。MyBatis排序時使用order by 動態引數時需要注意,用 。MyBatis排序時使用orderby動態參數時需要注意,用而不是#。
預設情況下,使用#{}格式的語法會導致MyBatis建立預處理語句屬性並以它為背景設定安全的值(比如?)。這樣做很安全,很迅速也是首選做法,有時你只是想直接在SQL語句中插入一個不改變的字串。比如,像ORDER BY,你可以這樣來使用:
ORDER BY ${columnName};
這裡MyBatis不會修改或轉義字串。
重要:接受從使用者輸出的內容並提供給語句中不變的字串,這樣做是不安全的。這會導致潛在的SQL隱碼攻擊,因此你不應該允許使用者輸入這些欄位,或者通常自行轉義並檢查。
相關文章
- SQL語句中exists和in的區別SQL
- SQL語句中not in 和not exist的區別SQL
- SQL中 where 子句和having子句中的區別SQL
- SQL語句中 left join 後用 on 還是 where,區別大SQL
- sql語句中JOIN ON 的使用SQL
- SQL語句中的AND和OR執行順序問題SQL
- 【SQL】Oracle SQL join on語句and和where使用區別SQLOracle
- MyBatis在SQL語句中取list的大小MyBatisSQL
- MyBatis的使用三(在sql語句中傳值)MyBatisSQL
- Python 提取出SQL語句中Where的值的方法PythonSQL
- MYSQL和SQL的區別MySql
- [20180928]避免表示式在sql語句中.txtSQL
- Oracle sql 語句中帶有特殊的字元處理OracleSQL字元
- 如何自動填充SQL語句中的公共欄位SQL
- Ruby 中的語句中斷和返回
- SQL中where和on的區別SQL
- SQL語句中不同的連線JOIN及SQL中join的各種用法SQL
- SQL語句中聚合函式忽略NULL值的總結SQL函式Null
- sql語句中where一定要放在group by 之前SQL
- DB2 執行Sql 語句中時的with ur/cs/rs/rr四種隔離級別DB2SQL
- sql中UNION和UNION ALL的區別SQL
- 資料庫SQL語句中關於explain關鍵字的用法資料庫SQLAI
- [20181029]避免表示式在sql語句中(10g).txtSQL
- sql:left join和join區別SQL
- python和r語言的區別PythonR語言
- 將第一個 sql 語句中的結果作為第二個 sql 的引數值SQL
- SQL語句case when外用sum與count的區別SQL
- SQL Server中count(*)和Count(1)的區別SQLServer
- MySQL 中 DELETE 語句中可以使用別名麼?MySqldelete
- python和GO語言之間的區別!PythonGo
- 在Pandas中 SQL操作:SQLAlchemy和PyMySQL的區別MySql
- [20181030]避免表示式在sql語句中(10g)(補充).txtSQL
- 如何剔掉 sql 語句中的尾巴,我用 C# 苦思了五種辦法SQLC#
- do-while語句和while的區別While
- c語言中作用域和儲存期的區別C語言
- linux 中 awk語句 getline 和 enxt的區別Linux
- python和c語言的區別是什麼PythonC語言
- C語言中pi=&j和*pi=j的區別C語言