iBATIS的绑定变量实现方式--转载

最新推荐文章于 2023-12-20 16:31:50 发布
转载 最新推荐文章于 2023-12-20 16:31:50 发布 · 1.8k 阅读 · 1
标签
#ibatis #sql #user
本文介绍了iBATIS中两种变量绑定方式:#value#和$value$。#value#方式安全且能有效防止SQL注入,而$value$方式虽灵活但存在安全隐患。推荐使用动态SQL构建方式提高效率和安全性。

开发板推荐:天空星STM32F407VET6开发板

超高性价比 STM32主控 | 超高主频 | 一板兼容百芯 | 比赛神器 | 沉金彩色丝印

点击查看

iBATIS的绑定变量有两种方式,#value#方式和$value$方式

1.#value#方式:
例如语句SELECT * FROM emp WHERE emp_no = #value#
实际执行时,iBATIS会使用prepareStatement方式,执行语句SELECT * FROM emp WHERE emp_no = ?,并将对应的参数值设置为value。这种方式下操作符是写在SQL Map中的,可以避免SQL注入的风险,非常安全。
2.$value$方式:
例如语句SELECT * FROM emp WHERE $value$
这种方式常用于构建动态SQL语句,如在本例中,假设value值为emp_no in (1,2,3),则实际执行时,iBATIS会执行语句SELECT * FROM emp WHERE emp_no in (1,2,3)。这种方式下操作符是传入的,存在SQL注入的风险,不安全。
实际使用中,对于根据条件查询的方式,推荐在sqlMapConfig中使用动态语句的方式实现,如下所示:
<select id="searchUser" resultClass="user" parameterClass="map">
    select id,userName,score,regDate,loginTime
    from demo_user where 1=1
    <dynamic>
     <isNotNull property="username" prepend="and">
      userName like #username#
     </isNotNull>
     <isNotNull property="fromid" prepend="and">
      id <![CDATA[>=]]> #fromid#
     </isNotNull>
     <isNotNull property="toid" prepend="and">
      id <![CDATA[<=]]> #toid#
     </isNotNull>
    </dynamic>
  </select>
相对$value$方式而言,这种方式比较麻烦,但是从效率和安全的角度考虑是合适的。

 

本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/zhouxianli/archive/2008/07/28/2723593.aspx

开发板推荐:天空星STM32F407VET6开发板

超高性价比 STM32主控 | 超高主频 | 一板兼容百芯 | 比赛神器 | 沉金彩色丝印

点击查看
mybatis中#和$符号的区别
weixin_34384915的博客
07-19 426
mybatis做为一个轻量级ORM框架在许多项目中使用,因其简单的入门受到了广大开发者的热爱。在近期项目中再做一个相关的开发,碰到了#、$符号这样的问题,之前没怎么注意过,通过学习之后,有了点感悟,分享如下, #{} 使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句中如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且...
关于ibatis中mysql的@变量问题作用域、污染问题
weixin_30877181的博客
02-07 263
搞了1天,过程不想多说,结论如下: ibatis.net 是有连接池的,用ab.exe 并发测试,可以测出默认的max连接数 ibatis.net的数据操作 xml 中可以用@变量,也就是 Session/会话 变量,但是要注意这个@变量 是会维持状态的,因为有连接池在保持连接(会话)。 即如果一用户在操作数据库中,产生了@Id = 2,这个用户关闭后,这个连接不会消失,连...
ibatis中使用$value$引入变量会引入SQLInjection漏洞
蛋疼先生的手札
04-01 422
(1)sql语法中的_关键字_.如果sql语句中出现存在用户输入的关键字.比如以下sql: select TABLE_NAME,TABLESPACE_NAME from user_tables order by TABLE_NAME $ordertype$其中ordertype为用户输入的ASC,DESC.对这种关键字请使用 $ordertype:SQLKEYWORD$替换 $ordertype$...
IBATIS 的 MAP使用(条件IN的使用)
Sunnyyou2011
11-24 2630
// DAO 层  public int getPublicIPVmNumber(List orderList, Date date) {    Map map = new HashMap();   map.put("orderList", orderList);    ---MAP中对应的KEY,VALUE的设置   map.put("date", date);   Integer g
iBatis resultMap报错 nullValue完美解决
热门推荐
一个老码农
03-31 1万+
错误信息:SQLErrorCodesFactory - Database product name cached for DataSource [org.apache.commons.dbcp.BasicDataSource@19c5048]: name is MySQLSQLErrorCodesFactory - SQL error codes for MySQL foundSQLE
ORACLE学习之绑定变量
weixin_33915554的博客
06-08 105
1、理解绑定变量,要先了解oracle的硬解析与软解析。 简单叙述一下所谓的硬解析与软解析: 硬解析可以理解为一个完整的SQL语句解析过程,解析的结果就是生成解析树与执行计划。在硬解析完成之后,该条已经被解析的语句会被加入到一个共享的内存区(专门存储已经解析过的SQL语句),并建立索引(用该条SQL语句以及其他相关的一些信息,用特定的HASH算法进行计算,得到的hash码做为索引的值)。 软...
Ibatis自动解决sql注入机制
amqi6260的博客
11-23 264
疑问1:为什么IBatis解决了大部分的sql注入?(实际上还有部分sql语句需要关心sql注入,比如like)   之前写Java web,一直使用IBatis,从来没有考虑过sql注入;最近写php(新手),突然遇到一大堆sql注入问题,如sql语句: SELECT * FROM message WHERE message_id =$id; id通常允许输入数字或字符,如...
转载 DBA的wiki 感觉很有用
moneyisfrist的专栏
02-08 141
引起语句多版本的一个原因。下面做了一个测试来演示这种情况,线上很多库上都有类似的问题。 ibatis版本:2.3.0 oracle版本:10.2.0.4   1. 建临时表 create table tmp_jd_bind_test(id number, c1 number, c2 date); 2. java 端调用程序,用ibatis, 插入记录, 这一步是...
MyBatis面试题
weixin_30900589的博客
07-18 172
 Mybatis比IBatis比较大的几个改进是什么 a.有接口绑定,包括注解绑定sql和xml绑定Sql ,b.动态sql由原来的节点配置变成OGNL表达式,c. 在一对一,一对多的时候引进了association,在一对多的时候引入了collection节点,不过都是在resultMap里面配置 什么是MyBatis的接口绑定,...
iBatis动态条件查询
Mrs_haining的博客
02-04 1249
iBatis动态条件查询 (1)实例一: <!--动态条件分页查询--> <sqlid="sql_count"> select count(*) </sql> <sqlid="sql_select"> select * </sql> <sqlid="sql_...
iBatis动态传入表名,字段名
xoclcn的专栏
10-08 1800
$和#     public List getProjectCodes(String table, String column, String returnColumn, String value) {     Map map = new HashMap();     map.put("table", table);     map.put("column", column);     map.p
ibatis实战之使用内联参数--用#做占位符
fhd001的专栏
07-09 346
ibatis实战之使用内联参数--用#做占位符 ----------   内联参数就是一种在已映射语句中添加查询条件的简单方式,你可以使用两个不同的方法来设置内联参数。 第一个方法是使用散列(#)符号。以下的例子就使用#符号传递进一个简单的内联参数,以通过accountId值来获取一个唯一的Account bean:   &lt;select accountId, username...
iBatis
黄维
10-26 2068
转自:http://www.24xuexi.com/w/2011-10-09/97936.html ibatis的作用: SQL Map能大大减少访问关系数据库的代码。SQL Map使用简单的XML配置文件将Java Bean映射成SQL语句,对比其他的数据库持久层和ORM框架,SQL Map最大的优点在于它简单易学。要使用SQL Map,只要熟悉JavaBean,XML和SQL
iBatis 和 myBatis中 的“$”符号和“#”
VerusBin 的博客
06-19 2728
一、iBatis中的$和# 在iBatis中使用sqlmap查询时引用参数往往会使用 一对$或者#写在参数前后,以此来区别原生sql和参数的区别;那么#和$有什么区别呢?什么时候用#什么时候又用$呢?这里就这点和大家分享下: 简单来说: #可以进行与编译,进行类型匹配,而$不进行数据类型匹配; 例如: select * from table where id = ...
Mybatis参数绑定
m0_74356429的博客
12-20 1584
1、在java.com.by.dao文件夹下新建UserDao接口,在接口中定义getUserById()方法。2、在java.com.by.dao文件夹下新建UserDao.xml文件。3、pojo传递多个参数---【推荐】2、注解传递多个参数---【推荐】4、map传递多个参数。MyBatisTestjava文件。1、序号传递多个参数。UserDao.xml文件。
MyBatis框架的基础知识
weixin_56824512的博客
03-22 897
MyBatis的基础知识及其部配置l文件搭建
ibatis 绑定变量 sql硬软解析
welcome to 小琳紫's home
09-06 5249
关于避免sql的硬解析: 1.ibatis中,所有的 ##都是绑定变量,所有的$$都不算绑定变量,所以尽量避免使用$$。 但是对于In,$$中传入的值,不被看成一个整体,此在In条件中可以顺利使用只是不是绑定变量如:1 :2 :3 :4这种语句; 如果in的值是##传入的,则in查不到任何数据因为##里面的东西被看成一个整体。 2.如果sql中涉及到 where id in(xxx),
Ibatis 占位符使用注意
CHINA__MAN的专栏
08-29 1074
IbatIS sql 参数传递中,sqlMap.xml中占位符可以使用两种:分别为#id#  和 $id$ #号占位符会自动在参数两边加上逗号。$号直接把参数替换。 然而#号占位符不只是加上了 引号这么简单,使用占位符#,ibatIS在执行sql语句之前会先把 sql语句 设置为预编译语句,例如 select * from table_a where id=? 最后把参数id传入,这样就防止
ibatis 遇到的问题及解决方法
mocaoshang的专栏
08-26 872
1.ibatis中 # 跟 $的区别? select * from member where id =#id#  ------ 适用于传参问题 可以直接传属性值  也可以传javabean  ibatis会自动解析 问题:iBATIS默认会把“#”中间的变量作为字符串来处
iBatis入门
王旭东
01-01 212
iBatis 简介: iBatis 是apache 的一个开源项目,一个O/R Mapping 解决方案,iBatis 最大的特点就是小巧,上手很快。如果不需要太多复杂的功能,iBatis 是能够满足你的要求又足够灵活的最简单的解决方案,现在的iBatis 已经改名为Mybatis 了。 官网为:http://www.mybatis.org/ ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值