网络推广网站,怎么做免费的网站空间,乐清网站制作推荐,平台网站建设协议书目录 一、# 符号和$ 符号区别#xff1a; # 符号#xff1a; $ 符号#xff1a; 二、使用场景#xff1a; # 符号 $ 符号#xff1a; 三、XML代码示例 四、总结#xff1a; 五、扩展#xff1a;sql注入介绍及危害 在 MyBatis 中#xff0c;$ 和 # 都是用于参数…目录 一、# 符号和$ 符号区别 # 符号 $ 符号 二、使用场景 # 符号 $ 符号 三、XML代码示例 四、总结 五、扩展sql注入介绍及危害 在 MyBatis 中$ 和 # 都是用于参数绑定的但它们之间存在明显的差异主要体现在参数的预处理方式和安全性上。 一、# 符号和$ 符号区别 # 符号 # 符号用于预编译 SQL 语句中的参数绑定。MyBatis 会为这些参数生成 PreparedStatement 中的占位符 ?并设置相应的参数值。这种方式是安全的因为它可以防止 SQL 注入攻击。 $ 符号 $ 符号用于直接替换 SQL 语句中的字符串。MyBatis 不会为其生成 PreparedStatement 中的占位符而是直接将其替换为相应的参数值。这种方式是不安全的因为它可能导致 SQL 注入攻击特别是在将字符串拼接到 SQL 语句中时 二、使用场景 # 符号 当需要绑定 SQL 语句中的参数值时应使用 # 符号。适用于所有类型的参数包括基本数据类型、String、集合、对象等。MyBatis 会为参数生成相应的占位符并自动进行类型转换和参数设置。 $ 符号 当需要动态构建 SQL 语句的某部分时可以使用 $ 符号。但请注意这可能会增加 SQL 注入的风险因此应谨慎使用。通常用于表名、列名等动态变化的部分而不是用于绑定参数值。 三、XML代码示例 select idfindUserById resultTypeUser !--#{id} 表示一个参数占位符MyBatis 会将其替换为实际的参数值并生成相应的 PreparedStatement。-- SELECT * FROM user WHERE id #{id}/select select idfindUserByColumnName resultTypeUser !--${columnName} 表示一个直接替换的字符串MyBatis 会将其替换为实际的列名。而 #{value} 则是一个参数占位符用于绑定参数值。-- SELECT * FROM user WHERE ${columnName} #{value}/select 需要注意的是使用 $ 符号进行动态 SQL 构建时必须确保传入的参数值是安全的避免 SQL 注入的风险。一种常见的做法是使用白名单机制只允许预定义的、安全的值作为动态 SQL 的部分。 四、总结 # 符号用于参数绑定生成 PreparedStatement 中的占位符安全且推荐使用。$ 符号用于直接替换字符串不安全且应谨慎使用主要用于动态构建 SQL 语句的某部分。 五、扩展sql注入介绍及危害 SQL注入是一种常见的计算机安全漏洞它利用了对数据库执行SQL查询时未正确过滤或转义用户输入的情况。攻击者可以在输入框或参数中注入恶意的SQL代码从而影响数据库的执行逻辑。 SQL注入的危害包括但不限于以下几点 数据泄露攻击者可以通过SQL注入获取未经授权的数据包括用户信息、敏感数据甚至是整个数据库的内容。数据篡改攻击者可以修改数据库中的数据包括插入虚假信息、篡改现有数据或者删除数据导致数据的不一致性和损坏。绕过认证攻击者可以利用SQL注入绕过身份验证机制以管理员权限执行操作甚至获取系统控制权。拒绝服务攻击通过恶意构造的SQL查询攻击者可以消耗数据库资源导致数据库性能下降甚至瘫痪从而造成拒绝服务。 为了防范SQL注入攻击在开发时需要尽量少使用$进行拼接并没有必须使用$符号的时候。