java $和$$的区别_Java #{}和${}区别
Mybatis中使用#{}可以防止sql注入
#{}: 表示一個占位符號,實現向PreparedStatement占位符中設置值(#{}表示一個占位符?),自動進行Java類型到JDBC類型的轉換(因此#{}可以有效防止SQL注入).#{}可以接收簡單類型或PO屬性值,如果parameterType傳輸的是單個簡單類型值,#{}花括號中可以是value或其它名稱.
: 表 示 拼 接 S Q L 串 , 通 過 {}: 表示拼接SQL串,通過:表示拼接SQL串,通過{}可將parameterType內容拼接在SQL中而不進行JDBC類型轉換,可 以 接 收 簡 單 類 型 或 P O 屬 性 值 , 如 果 p a r a m e t e r T y p e 傳 輸 的 是 單 個 簡 單 類 型 值 , {}可以接收簡單類型或PO屬性值,如果parameterType傳輸的是單個簡單類型值,可以接收簡單類型或PO屬性值,如果parameterType傳輸的是單個簡單類型值,{}花括號中只能是value.
雖然不 能 防 止 S Q L 注 入 , 但 有 時 {}不能防止SQL注入,但有時不能防止SQL注入,但有時{}會非常方便(如order by排序,需要將列名通過參數傳入SQL,則用ORDER BY ${column},使用#{}則無法實現此功能.
防止sql注入的原理:
先看下面用占位符來查詢的一句話
String sql = “select * from administrator where adminname=?”;
psm = con.prepareStatement(sql);
String s_name =“zhangsan’ or ‘1’='1”;
psm.setString(1, s_name);
假設數據庫表中并沒有zhangsan這個用戶名,
用plsql運行sql語句,可以查出來所有的用戶名,但是在Java中并沒有查出任何數據,這是為什么呢?
首先,setString()的源碼中只有方法名字,并沒有任何過程性處理,
那么答案肯定出現在Java到數據庫這個過程中,也就是mysql和oracle驅動包中,在mysql驅動包中,PreparedStatement繼承并實現了jdk中的setString方法,
也就是原因在于數據庫廠商幫你解決了這個問題,下面就看看這個方法的具體實現:
可以看出數據驅動代碼中對傳入的參數首尾加了引號,并且對參數中的引號進行了轉義,所以在數據庫中真正執行的是把參數作為一個字符串格式來處理,如果是整數類型字段會自動cast類型。
spring #{} 可以使用SpEL表達式,${}可以獲取應用配置文件中的配置值
1 @Value("#{}") SpEL表達式
@Value("#{}") 表示SpEl表達式通常用來獲取bean的屬性,或者調用bean的某個方法。當然還有可以表示常量
@RestController
@RequestMapping("/login")
@Component
public class LoginController {
@Value("#{1}")
private int number; //獲取數字 1
@Value("#{'Spring Expression Language'}") //獲取字符串常量
private String str;
@Value("#{dataSource.url}") //獲取bean的屬性
private String jdbcUrl;
@Autowired
private DataSourceTransactionManager transactionManager;
@RequestMapping("login")
public String login(String name,String password) throws FileNotFoundException{
System.out.println(number);
System.out.println(str);
System.out.println(jdbcUrl);
return "login";
}
}
[email?protected](#{""}) 獲取其他bean的屬性,或者調用其他bean的方法時,只要該bean (Beab_A)能夠訪問到被調用的bean(Beab_B),即要么Beab_A 和Beab_B在同一個容器中,或者Beab_B所在容器是Beab_A所在容器的父容器。(拿我上面貼出來的代碼為例在springMvc項目中,dataSource這個bean一般是在springContext.xml文件中申明的,而loginController這個bean一般是在springMvc.xml文件中申明的,雖然這兩個bean loginController和dataSource不在一個容器,但是loginController所在容器繼承了dataSource所在的容器,[email?protected]("#{dataSource.url}")能夠獲取到dataSource的url屬性)。
2 @Value("${}")
[email?protected]("${}") 可以獲取對應屬性文件中定義的屬性值。假如我有一個sys.properties文件 里面規定了一組值: web.view.prefix =/WEB-INF/views/
在springMvc.xml文件中引入下面的代碼既即以在 [email?protected]("w e b . v i e w . p r e f i x " ) 獲 取 這 個 字 符 串 。 需 要 指 出 的 是 , 如 果 只 在 s p r i n g M v c . x m l 引 入 下 面 代 碼 , 只 能 在 s p r i n g M v c . x m l 文 件 中 掃 描 或 者 注 冊 的 b e a n 中 才 能 通 過 @ V a l u e ( " {web.view.prefix}")獲取這個字符串。需要指出的是,如果只在springMvc.xml引入下面代碼,只能在springMvc.xml文件中掃描或者注冊的bean中才能[email?protected]("web.view.prefix")獲取這個字符串。需要指出的是,如果只在springMvc.xml引入下面代碼,只能在springMvc.xml文件中掃描或者注冊的bean中才能通過@Value("{web.view.prefix}")獲取這個字符串,其他未在springMvc.xml掃描和定義的bean必須在相應的[email?protected]("${}”)表達式
然后再controller文件中通過下面代碼即可獲取“”/WEB-INF/views/“”這個字符串
@Value("${web.view.prefix}")
private String prefix;
總結
以上是生活随笔為你收集整理的java $和$$的区别_Java #{}和${}区别的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 计算机组装与维护实验指导,计算机组装与维
- 下一篇: java codepointbefore