java $和$$的区别_Java #{}和${}区别

Mybatis中使用#{}可以防止sql注入

#{}: 表示一个占位符号,实现向PreparedStatement占位符中设置值(#{}表示一个占位符?),自动进行Java类型到JDBC类型的转换(因此#{}可以有效防止SQL注入).#{}可以接收简单类型或PO属性值,如果parameterType传输的是单个简单类型值,#{}花括号中可以是value或其它名称.

: 表 示 拼 接 S Q L 串 , 通 过 {}: 表示拼接SQL串,通过:表示拼接SQL串,通过{}可将parameterType内容拼接在SQL中而不进行JDBC类型转换,可 以 接 收 简 单 类 型 或 P O 属 性 值 , 如 果 p a r a m e t e r T y p e 传 输 的 是 单 个 简 单 类 型 值 , {}可以接收简单类型或PO属性值,如果parameterType传输的是单个简单类型值,可以接收简单类型或PO属性值,如果parameterType传输的是单个简单类型值,{}花括号中只能是value.

虽然不 能 防 止 S Q L 注 入 , 但 有 时 {}不能防止SQL注入,但有时不能防止SQL注入,但有时{}会非常方便(如order by排序,需要将列名通过参数传入SQL,则用ORDER BY ${column},使用#{}则无法实现此功能.

防止sql注入的原理:

先看下面用占位符来查询的一句话

String sql = “select * from administrator where adminname=?”;

psm = con.prepareStatement(sql);

String s_name =“zhangsan’ or ‘1’='1”;

psm.setString(1, s_name);

假设数据库表中并没有zhangsan这个用户名,

用plsql运行sql语句,可以查出来所有的用户名,但是在Java中并没有查出任何数据,这是为什么呢?

首先,setString()的源码中只有方法名字,并没有任何过程性处理,

那么答案肯定出现在Java到数据库这个过程中,也就是mysql和oracle驱动包中,在mysql驱动包中,PreparedStatement继承并实现了jdk中的setString方法,

也就是原因在于数据库厂商帮你解决了这个问题,下面就看看这个方法的具体实现:

cd123b553c1b49e762ed0f8e874f7253.png

627a8d263c815478211c6c561a4f1830.pngd8db86e852dc003edc729d2a552d5a80.png

ab68f306c3e2fcb18b9e354cc26cd9d3.png

可以看出数据驱动代码中对传入的参数首尾加了引号,并且对参数中的引号进行了转义,所以在数据库中真正执行的是把参数作为一个字符串格式来处理,如果是整数类型字段会自动cast类型。

spring #{} 可以使用SpEL表达式,${}可以获取应用配置文件中的配置值

1 @Value("#{}") SpEL表达式

@Value("#{}") 表示SpEl表达式通常用来获取bean的属性,或者调用bean的某个方法。当然还有可以表示常量

@RestController

@RequestMapping("/login")

@Component

public class LoginController {

@Value("#{1}")

private int number; //获取数字 1

@Value("#{'Spring Expression Language'}") //获取字符串常量

private String str;

@Value("#{dataSource.url}") //获取bean的属性

private String jdbcUrl;

@Autowired

private DataSourceTransactionManager transactionManager;

@RequestMapping("login")

public String login(String name,String password) throws FileNotFoundException{

System.out.println(number);

System.out.println(str);

System.out.println(jdbcUrl);

return "login";

}

}

[email protected](#{""}) 获取其他bean的属性,或者调用其他bean的方法时,只要该bean (Beab_A)能够访问到被调用的bean(Beab_B),即要么Beab_A 和Beab_B在同一个容器中,或者Beab_B所在容器是Beab_A所在容器的父容器。(拿我上面贴出来的代码为例在springMvc项目中,dataSource这个bean一般是在springContext.xml文件中申明的,而loginController这个bean一般是在springMvc.xml文件中申明的,虽然这两个bean loginController和dataSource不在一个容器,但是loginController所在容器继承了dataSource所在的容器,[email protected]("#{dataSource.url}")能够获取到dataSource的url属性)。

2 @Value("${}")

[email protected]("${}") 可以获取对应属性文件中定义的属性值。假如我有一个sys.properties文件 里面规定了一组值: web.view.prefix =/WEB-INF/views/

在springMvc.xml文件中引入下面的代码既即以在 [email protected]("w e b . v i e w . p r e f i x " ) 获 取 这 个 字 符 串 。 需 要 指 出 的 是 , 如 果 只 在 s p r i n g M v c . x m l 引 入 下 面 代 码 , 只 能 在 s p r i n g M v c . x m l 文 件 中 扫 描 或 者 注 册 的 b e a n 中 才 能 通 过 @ V a l u e ( " {web.view.prefix}")获取这个字符串。需要指出的是,如果只在springMvc.xml引入下面代码,只能在springMvc.xml文件中扫描或者注册的bean中才能[email protected]("web.view.prefix")获取这个字符串。需要指出的是,如果只在springMvc.xml引入下面代码,只能在springMvc.xml文件中扫描或者注册的bean中才能通过@Value("{web.view.prefix}")获取这个字符串,其他未在springMvc.xml扫描和定义的bean必须在相应的[email protected]("${}”)表达式

然后再controller文件中通过下面代码即可获取“”/WEB-INF/views/“”这个字符串

@Value("${web.view.prefix}")

private String prefix;

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/434640.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

基于xml技术的操作

基于xml技术的操作

Xml是一种存放文件的一个文件格式,在程序的开发中应用很广泛,下面就来看看如何通过DOM的方式处理Xml格式的数据。DOM(Document Object Model,文档对象模型),DOM是处理Xml数据的国际通用数据模型,由于Xml以元素为单位,就…
阅读更多...
half-sync/half-async 和 Leader/Followers 模式的主要区别

half-sync/half-async 和 Leader/Followers 模式的主要区别

在 《POSA2》 一书中,关于这两个模式有两个很形象的比喻:半同步/半异步(half-sync/half-async):许多餐厅使用 半同步/半异步 模式的变体。例如,餐厅常常雇佣一个领班负责迎接顾客,并在餐厅繁忙时…
阅读更多...
JAVA中的IO系统详解

JAVA中的IO系统详解

Java 流在处理上分为字符流和字节流。字符流处理的单元为 2 个字节的 Unicode 字符,分别操作字符、字符数组或字符串,而字节流处理单元为 1 个字节,操作字节和字节数组。 Java 内用 Unicode 编码存储字符,字符流处理类负责将外部…
阅读更多...
将Linux下编译的warning警告信息输出到文件中

将Linux下编译的warning警告信息输出到文件中

Linux中,脚本语言环境中,即你用make xxx即其他一些普通 linux 命令,比如ls,find等,不同的数字,代表不同的含义: 数字 含义标准叫法0标准输入stdin standard input1标准输出stdout standard o…
阅读更多...
java 内部编码_Java 中文编码分析

java 内部编码_Java 中文编码分析

一、charAt 与 codePonitAt我们知道 Java 内部使用的是 utf-16 作为它的 char、String 的字符编码方式,这里我们叫它内部字符集。而 utf-16 是变长编码,一个字符的编码被称为一个 code point,它可能是 16 位 —— 一个 code unit,…
阅读更多...
Framework1.1 DataView 转DataTable

Framework1.1 DataView 转DataTable

因为Framework2.0开始DataView 有toTable()方法,可以直接转。但vs2003还是Framework1.1 没有这个方法。 所以要手动转,方法如下: public static DataTable CreateTable(DataView obDataView) { if (null obDataView) …
阅读更多...
leetcode mysql 排名_(LeetCode:数据库)分数排名

leetcode mysql 排名_(LeetCode:数据库)分数排名

编写一个 SQL 查询来实现分数排名。如果两个分数相同,则两个分数排名(Rank)相同。请注意,平分后的下一个名次应该是下一个连续的整数值。换句话说,名次之间不应该有“间隔”。-----------| Id | Score |-----------| 1 | 3.50 || 2 | 3.65…
阅读更多...
Windows 8 JavaScript Metro应用程序--入门(上)

Windows 8 JavaScript Metro应用程序--入门(上)

Windows 8 JavaScript Metro应用程序--入门(上) 如你所知的Windows8允许你通过以下几种方式创建Metro应用程序: CC# JavaScript第一部分将侧重于主体结构和JavaScript Grid 应用程序的基础,在随后的文章中我将深度探究在Windows8中…
阅读更多...
内核编译(make)

内核编译(make)

内核编译(make)之后会生成两个文件,一个Image,一个zImage,其中Image为内核映像文件,而zImage为内核的一种映像压缩文件,Image大约为4M,而zImage不到2M。 那么uImage又是什么的&#…
阅读更多...
cobol to java_cobol to java

cobol to java_cobol to java

该楼层疑似违规已被系统折叠 隐藏此楼查看此楼(a) Javaソースプログラムの作成COBOLプログラムを呼び出すJavaプログラムでは,次の三つのJavaソースファイルを作成する必要があります。mainメソッドを含むJavaプログラム(Javaクラス)COBOLプログラムに対応するJava…
阅读更多...
Elf

Elf

机器执行的是机器指令,而机器指令就是一堆二进制的数字。高级语言编写的程序之所以可以在不同的机器上移植就因为有为不同机器设计的编译器的存在。高级语言的编译器就是把高级语言写的程序转换成某个机器能直接执行的二进制代码。以上的知识在我们学习CS(Computer …
阅读更多...
python教程闭包_Python教程 闭包的特性

python教程闭包_Python教程 闭包的特性

作者:Vamei 出处:http://www.cnblogs.com/vamei 欢迎转载,也请保留这段声明。谢谢!~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~闭包(closure)是函数式编程的重要的语法结构。函数式编…
阅读更多...
直接打印报表

直接打印报表

在ax中有时可能需要在打印时,不显示报表的预览与设置窗口,而是直接Send到打印机。可以使用ClassFactory、PrintJobSettings、ReportRun来完成。 static void NJ_MF_DirectPrint(Args _args) { Args args new Args(); ReportRun …
阅读更多...
如何构建自己的SIP SERVER!

如何构建自己的SIP SERVER!

如果你下载了 sip phone, 自己又做了一个 SIP SERVER,那么你就可以当老大了,不要什么MSN,QQ的语音通话了,自己就可以直接同你想要的人通话了。1:软件准备:A: SIP SERVER http://www.brekeke.com/en/download/idx_sipse…
阅读更多...
java java.lang_Java之java.lang.IllegalMonitorStateException

java java.lang_Java之java.lang.IllegalMonitorStateException

今天又中彩了, 原本很简单的多线程程序, 蓦然间冒了个"java.lang.IllegalMonitorStateException" , 杀了个措手不及. 一直纳闷, 为什么为什么? 查资料说该异常由于对象未获取得到Lock就试图操作Lock. 再细细源码, 原来不不小将lock.lock()写错为lock.tryLock(). 坑爹…
阅读更多...
CruiseControl.NET ----- mail 配置

CruiseControl.NET ----- mail 配置

最近在用 CruiseControl.NET实现每日构建,其他配置起来都挺方便,就是在邮件设置上费了不少时间,我用的是CC.NET1.6,这个版本已经支持发送附件,如果使用外部邮箱,记得要把邮箱的smtp功能打开,下面是Mail配置的一个例子&…
阅读更多...
java编程字_Java编程基本概念

java编程字_Java编程基本概念

1.标识符①用于给变量、类和方法命名(类名首字母大写,变量和方法名首字母小写并遵循驼峰原则)②标识符的命名规范:■标识符必须以字母、下划线和美元符$开头。■标识符其他部分可以是字母、下划线、美元符和数字的任意组合。■Java标识符大小写敏感&…
阅读更多...
ubuntu gedit出错:Failed to connect to the session manager

ubuntu gedit出错:Failed to connect to the session manager

刚才用su到root后,用命令gedit发现会出错:** (gedit:2976): WARNING **: 连接已关闭(gedit:2976): EggSMClient-WARNING **: Failed to connect to the session manager:None of the authentication protocols specified are supported** (gedit:2976): …
阅读更多...
php 类的实现 完整例子

php 类的实现 完整例子

文件目录&#xff1a; --index.php --php --data_info.php index.php 这里要require_once类所在的php文件 <?php require_once(./php/data_info.php);$oneDatanew user;$oneData->setName("username");$oneData->setPassword("password");echo $…
阅读更多...
mac java版本 不一致_mac实现不同版本的jdk切换

mac java版本 不一致_mac实现不同版本的jdk切换

之前使用jdk11进行java开发(纯粹因为喜欢新版?)但是使用jdk11在布署hadoop伪分布时各种报错, 所以还是下载jdk8回来.接下来就是mac端切换两个版本的jdk(按照网上找的方式好像有bug-文章最后再说.虽然不知道怎么解决,但是至少我可以成功部署hadoop, 所以这里就先忽略)首先下载j…
阅读更多...
最新文章

Copyright @ 2022~2023