河南国基建设集团--官方网站,云南企业网站,模板建站服务器,物联网就业方向及前景Mybatis中使用#{}可以防止sql注入#{}: 表示一个占位符号,实现向PreparedStatement占位符中设置值(#{}表示一个占位符?),自动进行Java类型到JDBC类型的转换(因此#{}可以有效防止SQL注入).#{}可以接收简单类型或PO属性值,如果parameterType传输的是单个简单类型值,#{}花括号中可…Mybatis中使用#{}可以防止sql注入#{}: 表示一个占位符号,实现向PreparedStatement占位符中设置值(#{}表示一个占位符?),自动进行Java类型到JDBC类型的转换(因此#{}可以有效防止SQL注入).#{}可以接收简单类型或PO属性值,如果parameterType传输的是单个简单类型值,#{}花括号中可以是value或其它名称.: 表 示 拼 接 S Q L 串 , 通 过 {}: 表示拼接SQL串,通过:表示拼接SQL串,通过{}可将parameterType内容拼接在SQL中而不进行JDBC类型转换,可 以 接 收 简 单 类 型 或 P O 属 性 值 , 如 果 p a r a m e t e r T y p e 传 输 的 是 单 个 简 单 类 型 值 , {}可以接收简单类型或PO属性值,如果parameterType传输的是单个简单类型值,可以接收简单类型或PO属性值,如果parameterType传输的是单个简单类型值,{}花括号中只能是value.虽然不 能 防 止 S Q L 注 入 , 但 有 时 {}不能防止SQL注入,但有时不能防止SQL注入,但有时{}会非常方便(如order by排序,需要将列名通过参数传入SQL,则用ORDER BY ${column},使用#{}则无法实现此功能.防止sql注入的原理先看下面用占位符来查询的一句话String sql “select * from administrator where adminname?”;psm con.prepareStatement(sql);String s_name “zhangsan’ or ‘1’1”;psm.setString(1, s_name);假设数据库表中并没有zhangsan这个用户名用plsql运行sql语句可以查出来所有的用户名但是在Java中并没有查出任何数据这是为什么呢首先setString()的源码中只有方法名字并没有任何过程性处理那么答案肯定出现在Java到数据库这个过程中也就是mysql和oracle驱动包中在mysql驱动包中PreparedStatement继承并实现了jdk中的setString方法也就是原因在于数据库厂商帮你解决了这个问题下面就看看这个方法的具体实现 可以看出数据驱动代码中对传入的参数首尾加了引号并且对参数中的引号进行了转义所以在数据库中真正执行的是把参数作为一个字符串格式来处理如果是整数类型字段会自动cast类型。spring #{} 可以使用SpEL表达式${}可以获取应用配置文件中的配置值1 Value(#{}) SpEL表达式Value(#{}) 表示SpEl表达式通常用来获取bean的属性或者调用bean的某个方法。当然还有可以表示常量RestControllerRequestMapping(/login)Componentpublic class LoginController {Value(#{1})private int number; //获取数字 1Value(#{Spring Expression Language}) //获取字符串常量private String str;Value(#{dataSource.url}) //获取bean的属性private String jdbcUrl;Autowiredprivate DataSourceTransactionManager transactionManager;RequestMapping(login)public String login(String name,String password) throws FileNotFoundException{System.out.println(number);System.out.println(str);System.out.println(jdbcUrl);return login;}}[email protected](#{}) 获取其他bean的属性或者调用其他bean的方法时只要该bean (Beab_A)能够访问到被调用的bean(Beab_B)即要么Beab_A 和Beab_B在同一个容器中或者Beab_B所在容器是Beab_A所在容器的父容器。(拿我上面贴出来的代码为例在springMvc项目中dataSource这个bean一般是在springContext.xml文件中申明的而loginController这个bean一般是在springMvc.xml文件中申明的虽然这两个bean loginController和dataSource不在一个容器但是loginController所在容器继承了dataSource所在的容器[email protected](#{dataSource.url})能够获取到dataSource的url属性)。2 Value(${})[email protected](${}) 可以获取对应属性文件中定义的属性值。假如我有一个sys.properties文件 里面规定了一组值 web.view.prefix /WEB-INF/views/在springMvc.xml文件中引入下面的代码既即以在 [email protected](w e b . v i e w . p r e f i x ) 获 取 这 个 字 符 串 。 需 要 指 出 的 是 如 果 只 在 s p r i n g M v c . x m l 引 入 下 面 代 码 只 能 在 s p r i n g M v c . x m l 文 件 中 扫 描 或 者 注 册 的 b e a n 中 才 能 通 过 V a l u e ( {web.view.prefix})获取这个字符串。需要指出的是如果只在springMvc.xml引入下面代码只能在springMvc.xml文件中扫描或者注册的bean中才能[email protected](web.view.prefix)获取这个字符串。需要指出的是如果只在springMvc.xml引入下面代码只能在springMvc.xml文件中扫描或者注册的bean中才能通过Value({web.view.prefix})获取这个字符串其他未在springMvc.xml扫描和定义的bean必须在相应的[email protected](${}”)表达式然后再controller文件中通过下面代码即可获取“”/WEB-INF/views/“”这个字符串Value(${web.view.prefix})private String prefix;
