JSP中#{},${}%{}的区别:

#{}

#{}:对语句进行预编译,此语句解析的是占位符?,可以防止SQL注入, 比如打印出来的语句 select * from table where id=?,预编译之后会变成select * from table where id = "1 or 1 = 1"。给注入信息加上了引号,并将其中可能存在的特殊字符进行了转义处理,替换掉了,所以可以防止注入。

类比:Java中的PreparedStatement

预编译:预编译又称预处理,是整个编译过程最先做的工作,即程序执行前的一些预处理工作。

例如,C语言的宏定义#define pi 3.14,就是在编译前把对应的变量替换掉了。

我们这里的SQL预编译,PreparedStatement不是将参数简单拼凑成SQL,而是做了一些预处理,将参数转换为String,两端加单引号,将参数内的一些特殊字符(换行,单双引号,斜杠等)做转义处理,这样就很大限度的避免了SQL注入。

Statement:${}

如 对于查询语句:select * from user where name='+ name +'

输入:张三' or 1 = '1

Statement,单纯拼接,不防止注入:select * from user where name = '张三' or 1 = '1'

PreparedStatement:#{}

对于查询语句:select * from user where name=?

PreparedStatement,预编译SQL,对参数进行转义,防止注入,select * from user where name = '张三' or 1 = '1'

这样可以防止注入,导致我们sql语句的结构被改变。

${}

${}:则是不能防止SQL注入打印出来的语句 select * from table where id=2 实实在在的参数拼接而成,可能会被注入select * from table where id = 1 or 1 = 1

类比:Java中的Statement

%{}

%{}:用在ognl表达式中是保证'{' 和 '}'之间的内容是OGNL表达式取值方式的

ognl表达式 即 对象导航图语言,用点来代替getset方法的调用,如配置文件properties中的. 。

如setName 我们可以使用.name

相当于oc中的点方法

@{}

在Thymeleaf中又引入了一个新的表达式符号@{},@{}代表获取上下文,也可以理解为获取当前项目的根目录。

Jsp 的老方法${pageContext.request.contextPath} = Thymeleaf 的新方式 @{}

如下实例

老式jsp:

<div style="border: solid 1px">

    <form enctype="multipart/form-data" method="post" th:action= "${pageContext.request.contextPath}/uploadDownload/testuploadimg">

                图片<input type="file" name="file"/>

                <input type="submit" value="上传"/>

     </form>

</div>

新的thymeleaf:

<div style="border: solid 1px">

    <form enctype="multipart/form-data" method="post" th:action= "@{/uploadDownload/testuploadimg}">

                图片<input type="file" name="file"/>

                <input type="submit" value="上传"/>

     </form>

</div>

{{}}

在vue中又引入了一个新的表达式符号{{}}{{}}用于输出对象属性和函数返回值,与${}用法类似,只不过{{}}是用于输出vue对象的属性和返回值

var vm = new Vue({

      /*  el:用于绑定属性的元素 */

      el:"#app",  //

      //data 用于定义属性,

      data:{

            msg:"hello world!!",

            age: 30,

            firstName : "liu234",

            lastName : "luw3111i",

            fullName : "luwei 6"

      },

      /* 用于定义的函数,可以通过 return 来返回函数值。*/

      methods : {

            getFullName : function(){

            //this指vm实例

                  return this.firstName + "" + this.lastName

            }

      }

})

【前端JSP思考】JSP中#{},${}和%{}的区别的更多相关文章

  1. jsp中两种include的区别【转】

    引用文章:http://www.ibm.com/developerworks/cn/java/j-jsp04293/ http://www.cnblogs.com/lazycoding/archive ...

  2. <%@page include%>、<%@include%>、<jsp:include>三者之间的本质区别

    <%@page include%>.<%@include%>.<jsp:include>三者之间的本质区别 先从它的几个内置对象说起. application和se ...

  3. jsp中forward和redirect的区别(转)

    一.调用方式 我们知道,在servlet中调用转发.重定向的语句如下: request.getRequestDispatcher("new.jsp").forward(reques ...

  4. JSP的getRequestDispatcher()与sendRedirect()的区别

    getRequestDispatcher()与sendRedirect()的区别   1.request.getRequestDispatcher()是请求转发,前后页面共享一个request ; r ...

  5. 网站开发进阶(六)JSP两种声明变量的区别

    JSP两种声明变量的区别 在JSP中用两种声明变量的方法,一种是在<%! %>内,一种是在<% %>内.他们之间有什么区别呢?我们直接看一个JSP文件来理解. 代码如下: &l ...

  6. jsp中jsp:forward 与 redirect区别

    部分转载:http://hi.baidu.com/168zlf/item/2f4b2ad4351b881c20e2500c 在网上看到一些帖子,总结了一些区别,可以从以下几个方面来看: 1.从地址栏显 ...

  7. jsp页面中注释 <!-- --> 和<%-- --%> 的区别

    jsp页面中注释 <!-- --> 和<%-- --%> 的区别 原创 2016年09月01日 17:55:44 标签: jsp注释 5605 今天发现一个问题:在jsp代码中 ...

  8. <jsp:include>和<%@include file=""%>的区别(简单了解)

    简单了解 include指令是编译阶段的指令,即include所包含的文件的内容是编译的时候插入到JSP文件中,JSP引擎在判断JSP页面未被修改,否则视为已被修改.由于被包含的文件是在编译时才插入的 ...

  9. jsp/servlet 中sendRedirect,include,forward区别

    1 sendRedirect response.sendRedirect(); 服务器根据逻辑,发送一个状态码,告诉浏览器重新去请求新的地址,一般来说浏览器会用刚才请求的所有参数重新请求,所以sess ...

  10. JavaBean组件在JSP文档中的应用

    Bean: package cn.donghaua.bean; public class StringBean { private String message = "No message ...

随机推荐

  1. 基于sass tailwindcss的传统页面开发脚手架

    这是一个基于sass和tailwindcss的快速开发传统多页面的npm脚手架. package.json { "name": "sass-tailwindcss-sta ...

  2. Spring Cloud Alibaba AI 入门与实践

    一.概述 Spring AI 是 Spring 官方社区项目,旨在简化 Java AI 应用程序开发,让 Java 开发者像使用 Spring 开发普通应用一样开发 AI 应用. 可参考文章<S ...

  3. Mac 最大连接数和端口的相关参数

    1. 最大连接数限制 最大连接数限制就是系统所能打开的最大文件数(文件描述符)的限制,分全局和进程两种: 1.1. 全局 $ sysctl kern.maxfiles kern.maxfiles: 4 ...

  4. linux 手动释放内存

    在 Linux 系统中,内存管理通常由系统自动处理,但在某些情况下,手动释放内存可能是必要的.例如,当业务应用比较繁忙时会频繁存取文件,物理内存会被缓存大量占用,有时会出现内存不足的情况发生,甚至会导 ...

  5. 第六章 dubbo源码解析目录

    13.1 dubbo服务降级源码解析 从 9.1 客户端发起请求源码 的客户端请求总体流程图中,截取部分如下: //代理发出请求 proxy0.sayHello(String paramString) ...

  6. Windows PowerShell 终端配置

    如何修改 Windows PowerShell 的提示符 Windows PowerShell 支持配置文件,可以创建配置文件,通过配置文件来修改 配置文件路径 打开一个Windows Powersh ...

  7. lagrange 插值做题记录

    插值在OI中的应用 - Grice - 博客园 lagrange 插值笔记 - 洛谷专栏 P5850 calc加强版 - 洛谷 Problem - F - Codeforces 2025oifc202 ...

  8. 用 C# 写一个 .NET 垃圾回收器(二)

    用 C# 写一个 .NET 垃圾回收器(二) 在第一部分中,我们准备了项目,并修复了由 NativeAOT 工具链引起的初始化问题.在本部分,我们将开始实现自己的 GC(垃圾回收器).目前的目标是构建 ...

  9. HPC云化部署的优势和挑战

    本文分享自天翼云开发者社区<HPC云化部署的优势和挑战> 作者:土豆炒肉丝 HPC云化部署指的是将高性能计算(HPC)工作负载部署在云计算平台上,这种方式带来了一些明显的优势,但同时也面临 ...

  10. server_patrol.sh服务器巡查脚本

    server_patrol.sh #!/bin/bash #!/usr/bin/expect -f#! auther by wangxp #定义一个变量 LANG="zh_CN.UTF-8& ...