JSP中#{},${}%{}的区别:

#{}

#{}:对语句进行预编译,此语句解析的是占位符?,可以防止SQL注入, 比如打印出来的语句 select * from table where id=?,预编译之后会变成select * from table where id = "1 or 1 = 1"。给注入信息加上了引号,并将其中可能存在的特殊字符进行了转义处理,替换掉了,所以可以防止注入。

类比:Java中的PreparedStatement

预编译:预编译又称预处理,是整个编译过程最先做的工作,即程序执行前的一些预处理工作。

例如,C语言的宏定义#define pi 3.14,就是在编译前把对应的变量替换掉了。

我们这里的SQL预编译,PreparedStatement不是将参数简单拼凑成SQL,而是做了一些预处理,将参数转换为String,两端加单引号,将参数内的一些特殊字符(换行,单双引号,斜杠等)做转义处理,这样就很大限度的避免了SQL注入。

Statement:${}

如 对于查询语句:select * from user where name='+ name +'

输入:张三' or 1 = '1

Statement,单纯拼接,不防止注入:select * from user where name = '张三' or 1 = '1'

PreparedStatement:#{}

对于查询语句:select * from user where name=?

PreparedStatement,预编译SQL,对参数进行转义,防止注入,select * from user where name = '张三' or 1 = '1'

这样可以防止注入,导致我们sql语句的结构被改变。

${}

${}:则是不能防止SQL注入打印出来的语句 select * from table where id=2 实实在在的参数拼接而成,可能会被注入select * from table where id = 1 or 1 = 1

类比:Java中的Statement

%{}

%{}:用在ognl表达式中是保证'{' 和 '}'之间的内容是OGNL表达式取值方式的

ognl表达式 即 对象导航图语言,用点来代替getset方法的调用,如配置文件properties中的. 。

如setName 我们可以使用.name

相当于oc中的点方法

@{}

在Thymeleaf中又引入了一个新的表达式符号@{},@{}代表获取上下文,也可以理解为获取当前项目的根目录。

Jsp 的老方法${pageContext.request.contextPath} = Thymeleaf 的新方式 @{}

如下实例

老式jsp:

<div style="border: solid 1px">

    <form enctype="multipart/form-data" method="post" th:action= "${pageContext.request.contextPath}/uploadDownload/testuploadimg">

                图片<input type="file" name="file"/>

                <input type="submit" value="上传"/>

     </form>

</div>

新的thymeleaf:

<div style="border: solid 1px">

    <form enctype="multipart/form-data" method="post" th:action= "@{/uploadDownload/testuploadimg}">

                图片<input type="file" name="file"/>

                <input type="submit" value="上传"/>

     </form>

</div>

{{}}

在vue中又引入了一个新的表达式符号{{}}{{}}用于输出对象属性和函数返回值,与${}用法类似,只不过{{}}是用于输出vue对象的属性和返回值

var vm = new Vue({

      /*  el:用于绑定属性的元素 */

      el:"#app",  //

      //data 用于定义属性,

      data:{

            msg:"hello world!!",

            age: 30,

            firstName : "liu234",

            lastName : "luw3111i",

            fullName : "luwei 6"

      },

      /* 用于定义的函数,可以通过 return 来返回函数值。*/

      methods : {

            getFullName : function(){

            //this指vm实例

                  return this.firstName + "" + this.lastName

            }

      }

})

【前端JSP思考】JSP中#{},${}和%{}的区别的更多相关文章

  1. jsp中两种include的区别【转】

    引用文章:http://www.ibm.com/developerworks/cn/java/j-jsp04293/ http://www.cnblogs.com/lazycoding/archive ...

  2. <%@page include%>、<%@include%>、<jsp:include>三者之间的本质区别

    <%@page include%>.<%@include%>.<jsp:include>三者之间的本质区别 先从它的几个内置对象说起. application和se ...

  3. jsp中forward和redirect的区别(转)

    一.调用方式 我们知道,在servlet中调用转发.重定向的语句如下: request.getRequestDispatcher("new.jsp").forward(reques ...

  4. JSP的getRequestDispatcher()与sendRedirect()的区别

    getRequestDispatcher()与sendRedirect()的区别   1.request.getRequestDispatcher()是请求转发,前后页面共享一个request ; r ...

  5. 网站开发进阶(六)JSP两种声明变量的区别

    JSP两种声明变量的区别 在JSP中用两种声明变量的方法,一种是在<%! %>内,一种是在<% %>内.他们之间有什么区别呢?我们直接看一个JSP文件来理解. 代码如下: &l ...

  6. jsp中jsp:forward 与 redirect区别

    部分转载:http://hi.baidu.com/168zlf/item/2f4b2ad4351b881c20e2500c 在网上看到一些帖子,总结了一些区别,可以从以下几个方面来看: 1.从地址栏显 ...

  7. jsp页面中注释 <!-- --> 和<%-- --%> 的区别

    jsp页面中注释 <!-- --> 和<%-- --%> 的区别 原创 2016年09月01日 17:55:44 标签: jsp注释 5605 今天发现一个问题:在jsp代码中 ...

  8. <jsp:include>和<%@include file=""%>的区别(简单了解)

    简单了解 include指令是编译阶段的指令,即include所包含的文件的内容是编译的时候插入到JSP文件中,JSP引擎在判断JSP页面未被修改,否则视为已被修改.由于被包含的文件是在编译时才插入的 ...

  9. jsp/servlet 中sendRedirect,include,forward区别

    1 sendRedirect response.sendRedirect(); 服务器根据逻辑,发送一个状态码,告诉浏览器重新去请求新的地址,一般来说浏览器会用刚才请求的所有参数重新请求,所以sess ...

  10. JavaBean组件在JSP文档中的应用

    Bean: package cn.donghaua.bean; public class StringBean { private String message = "No message ...

随机推荐

  1. 为什么要把数据模型分为:Entity,DTO,Response,Request呢?具体有什么作用呢

    开发中,我们通常把数据模型分为几个部分,探讨下他们具体都有那些作用. 1. Entity(实体) 实体类代表数据库表结构,与数据库表一一对应. // 例如 User.cs public class U ...

  2. PostGIS代码操作简介

    PostGIS代码操作简介 1. 代码操作POSTGIS的可选方案 jdbc postgis-java geotools gdal 2. JDBC public void testJdbc() { S ...

  3. python SQLAlchemy ORM——从零开始学习03 如何针对数据库信息进行排序

    03 如何进行排序 3-1准备工作: 因为要排序,所以需要随机多谢数据,model见后文.也需要random进行随机 from model import User, Engine from sqlal ...

  4. CDS标准视图:维修工单工艺数据 I_MAINTORDEROPERATIONDATA

    视图名称:维修工单工艺数据 I_MAINTORDEROPERATIONDATA 视图类型:基础 视图代码: 点击查看代码 @EndUserText.label: 'Maintenance Order ...

  5. Android平台架构及特性

    Android平台架构及特性 Android系统的底层是建立在Linux系统之上,改平台由操作系统.中间件.用户界面和应用软件四层组成,它采用一种被称为软件叠层(Software Stack)的方式进 ...

  6. 项目PMP之十三相关方管理

    项目PMP之十三--相关方管理   一.定义: 核心理念: 每个项目都有相关方,他们会受项目的积极或消极影响,或者能对项目施加积极或消极的影响. 以相关方满意度作为项目目标进行识别和管理,并保持沟通, ...

  7. 如何在 ASP.NET Core 中实现速率限制?

    在 ASP.NET Core 中实现速率限制(Rate Limiting)中间件可以帮助你控制客户端对 API 的请求频率,防止滥用和过载.速率限制通常用于保护服务器资源,确保服务的稳定性和可用性. ...

  8. C :文件

    一直没有系统学习过该章节,现参考<C语言程序设计 (第四版)谭浩强> C文件基本知识 什么是文件 文件名 文件的分类 文件缓冲区 文件类型指针 typedef struct { short ...

  9. 泰山派(Linux)播放音乐

    泰山派(Linux)录音/播放音乐 alsamixer ​ 声卡: ​ 播放:play(较详细),aplay 录音:arecord ​ 麦克风可用: Main_mic可用 录音(wav/mp3) ar ...

  10. 小米9刷twrp Rec 以及写入Magisk详细教程

    首先手机必须先解锁BL锁才能继续: ---------------------- 小米官方BL解锁教程:点此看教程 ---------------------- 解完锁后开始操作: 工具包:点此下载 ...