mybatis 绑定参数不带引号(${}与#{}的区别)

最新推荐文章于 2024-06-05 14:36:20 发布
原创 最新推荐文章于 2024-06-05 14:36:20 发布 · 4.4k 阅读 · 2 ·
CC 4.0 BY-SA版权
文章标签:

#mybatis #java #mysql #tomcat #学习

#{} 传入的值会在两边加上引号。(能防止SQL注入)

${} 传入的值会直接加到SQL中。(一般用于传入数据库对象,如表名、数据库名等,在order by中使用)

官方文档中这样描述的:

字符串替换

默认情况下,使用#{}参数语法时,MyBatis 会创建PreparedStatement参数占位符,并通过占位符安全地设置参数(就像使用 一样)。 这样做更安全,更迅速,通常也是首选做法,不过有时你就是想直接在 SQL 语句中直接插入一个不转义的字符串。 比如 ORDER BY 子句,这时候你可以:

ORDER BY ${columnName}

这样,MyBatis 就不会修改或转义该字符串了。

当 SQL 语句中的元数据(如表名或列名)是动态生成的时候,字符串替换将会非常有用。 举个例子,如果你想select一个表任意一列的数据时,不需要这样写:

@Select("select * from user where id = #{id}")
User findById(@Param("id") long id);

@Select("select * from user where name = #{name}")
User findByName(@Param("name") String name);

@Select("select * from user where email = #{email}")
User findByEmail(@Param("email") String email);

// 其它的 "findByXxx" 方法

而是可以只写这样一个方法:

@Select("select * from user where ${column} = #{value}")
User findByColumn(@Param("column") String column, @Param("value") String value);

其中${column}会被直接替换,而#{value}会使用预处理。 这样,就能完成同样的任务:

User userOfId1 = userMapper.findByColumn("id", 1L);
User userOfNameKid = userMapper.findByColumn("name", "kid");
User userOfEmail = userMapper.findByColumn("email", "noone@nowhere.com");

这种方式也同样适用于替换表名的情况。

提示用这种方式接受用户的输入,并用作语句参数是不安全的,会导致潜在的 SQL 注入攻击。因此,要么不允许用户输入这些字段,要么自行转义并检验这些参数。

MyBatis之bind标签详解,bind预防SQL注入案例及详解
睡竹的博客
08-07 1万+
MyBatis之bind标签详解,bind预防SQL注入案例及详解
MyBatis#$区别
你只管努力,
11-25 464
1.#是占位符。 $是用来拼接字符,虽然也是占位但是做字符的转换。#自动转换 日常报标识符无效的异常 2.#直接获取属性名称 $首先去获取properties文件的属性名称,没有的话再去对象或者参数中找。 3.#占位符 $拼接字符串,容易出现SQL注入。 为什么要引入$符号? 因为当数据库非常大的时候需要进行分库和分表, 数据量大的时候#无法处理 这时候就需要$来处理了。传...
mybatis foreach 错误_MyBatis 动态SQL where/if/choose/bind介绍
weixin_39541189的博客
11-28 291
当我们需要写复杂的 SQL 语句,往往需要拼接,而拼接 SQL ,稍微注意,由于引号,空格等缺失可能都会导致错误。  那么怎么去解决这个问题呢? 我们可以使用mybatis的 动态SQL,通过 if, choose, when, otherwise, trim, where, set, foreach等标签,可组合成非常灵活的SQL语句,从而在提高 SQL 语句的准确性...
Mybatis现学现用
12-16
以最短的时间学会Mybatis,并使用到项目中,包括搜集的很多资料;很全很全:并且有项目实例 例如:mybatis中的#$区别? 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sql为order by id.    3. #方式能够很大程度防止sql注入。    4.$方式无法防止Sql注入。 5.$方式一般用于传入数据库对象,例如传入表名.    6.一般能用#的就别用$. MyBatis排序时使用order by 动态参数时需要注意,用$# 字符串替换 默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个改变的字符串。比如,像ORDER BY,你可以这样来使用: ORDER BY ${columnName} 这里MyBatis会修改或转义字符串。 重要:接受从用户输出的内容并提供给语句中变的字符串,这样做是安全的。这会导致潜在的SQL注入攻击,因此你应该允许用户输入这些字段,或者通常自行转义并检查。
mybatis 中生成的字段引号
LLiLLiii的博客
09-18 984
使用#{}传入的参数’’使用 ${}传入就’’
Mybatis批量更新参数绑定:提升效率保障安全
[Mybatis批量更新参数绑定:提升效率保障安全](https://opengraph.githubassets.com/abb8697a1a260249373362a9fb70ead2c1ead90c46277d2e2a512af583f49a09/DMCHRL/mybatis_batch) # 摘要 本文针对Mybatis框架中的...
Mybatis明白?就这一篇你轻松入门
记得开心一点嘛的博客
06-05 1321
SSM框架是由Spring,SpringMVC,Mybatis结合而成,而标准的SSM框架有四层,分别为dao层,service层,controller层,view层。其中的dao层就是Mybatis框架的体现。根据这几句话 ,我们能看见Mybatis的影子以及其也是很重要的一层,所以咱们会的小伙伴可以先从SSM框架入手,了解这个框架的大体是什么,然后进入Mybatis学习,以免理解这东西对于整体的前后端的项目的位置。
MyBatis系列】Mybatis多表查询动态SQL
未见花闻的博客
10-20 3148
本篇文章将介绍使用MyBatis进行多表查询以及MyBatis的动态SQL特性。
java代码生成一个sql,mybatis${sql}直接执行,拼接的sql参数使用的是#取值,其中sql中in的话,for循环怎么实现
最新发布
09-03
因此,我们需要调整思路:在Java代码中生成SQL字符串时,对于IN语句部分,我们能直接拼接参数值,而是应该生成一个有占位符(?)的SQL片段,然后通过MyBatis的foreach循环来传递列表参数。 但是用户要求使用$...
mybatis 没有引号_mybatis的单引号
weixin_31891047的博客
02-01 2099
要生成的sql: 作用是利用postgreGIS数据库函数计算两点(经纬度已知)的距离。SELECT ST_Distance(ST_Transform(ST_GeomFromText('POINT(-87.734087560562 43.770129071141)',4326),26986),ST_Transform(ST_GeomFromText('POINT(-87.747382933006 ...
mybatis 中生成的字段引号 #{}和${}
lixixi
04-09 2694
转载自: https://www.cnblogs.com/azhqiang/p/6297530.html mybatis 中生成的字段引号 #{}和${} 转载 2016年07月06日 20:45:25 标签:mybatis /sql 6929 最近在用mybatis,之前用过ibatis,总体来说差多,过还是遇到了少问题,再次记录下, 比如说用#{},和 ${}传参的区别,...
mybatis 没有引号_mybatis 中生成的字段引号 #{}和${}
weixin_42349769的博客
01-17 3368
转载自:https://www.cnblogs.com/azhqiang/p/6297530.htmlmybatis 中生成的字段引号 #{}和${}转载 2016年07月06日 20:45:25 标签:mybatis /sql 6929最近在用mybatis,之前用过ibatis,总体来说差多,过还是遇到了少问题,再次记录下,比如说用#{},和 ${}传参的区别,使用#传入参数是,sq...
Mybaits 传入参数引号(#{parameter})引号(${parameter})的两种写法
piscesL6的博客
05-13 5778
MyBatis 传入参数时的两种方式: 方式一: 接收的参数会包含引号mybatis写法: #{parameter}。 方式二:接收的参数直接拼接在SQL 中,会自动添加引号mybatis写法:${parameter}。 方式二通常用于在SQL中直接拼接语句:比如动态拼接 order by ${parameter} ...
解决mybatis逆向生成xml文件时由于表名引号问题
长舒的博客
08-04 1089
今天安装了mysql8.0,准备配上mybatis-generator插件进行查询,但是发现一个问题,那就是mysql8版本的sql语句中表名都要开始用反引号扩起来了,针对这个问题,我们需要在generatorConfig.xml文件中加一些配置 在context标签最上面加上 <property name="autoDelimitKeywords" value="true"/> <property name="beginningDelimiter" value="`"/> <
记录下mybatis#{}和${}传参的区别
热门推荐
jimmy609的专栏
01-22 3万+
最近在用mybatis,之前用过ibatis,总体来说差多,过还是遇到了少问题,再次记录下, 比如说用#{},和 ${}传参的区别, 使用#传入参数是,sql语句解析是会加上"",比如  select * from table where name = #{name} ,传入的name为小李,那么最后打印出来的就是  select * from table wh
mybatis #{}无法自动添加引号的错误
wshten
07-19 4096
传入string类型时,无法自动添加引号,导致SQL将值识别为列名,导致SQL失败   解决:使用map类型代替string的传值 如 Map&lt;String, String&gt; map = new HashMap&lt;&gt;(2); map.put("userName", userName); return userMapper.selectUserByName(map);...
mybatis中传递参数时,会加上单引号
lixilai_rjkf的博客
11-26 3601
1) 使用#{参数}传入会加上单引号,sql语句解析是会加上"", 比如 select * from table where name = #{name} ,传入的name为小李,那么最后打印出来的就是 select * from table where name = ‘小李’,就是会当成字符串来解析,这样相比于$的好处是比较明显对的吧,#{}传参能防止sql注入,如果你传入的参数为 单引号',那么如果使用${},这种方式 那么是会报错的, 2)${} 另外一种场景是,如果你要做动态的排序,比如..
MyBatis中如何处理`IN`子句的字符串列表参数
05-01
<think>好的,我现在需要解决用户在MyBatis中处理IN子句时如何正确传递字符串列表参数的问题。根据用户之前的提问和我的回答,用户已经了解使用@Select注解和动态SQL来处理列表参数,但现在可能遇到了更具体的情况,特别是关于字符串列表的处理。 首先,回顾之前的回答,我提到了使用`<foreach>`标签遍历集合参数,并正确绑定参数名。现在用户的问题集中在字符串列表上,我需要确保参数传递的正确性,避免常见的错误,比如参数未正确绑定或类型匹配。 接下来,我需要参考用户提供的引用内容。引用[1]提到MyBatis使用预处理语句,参数用“?”代替,这在处理列表时需要注意生成正确的占位符数量。引用[3]指出可以通过传入数组或容器(如List)来使用`<foreach>`标签处理IN子句,特别是当字段为字符串类型时,需要确保参数正确包裹在引号中。 用户的问题可能涉及如何将字符串列表作为参数传递给MyBatis的IN子句。常见错误可能包括未使用`@Param`注解指定参数名,或者在XML中错误引用参数名,导致MyBatis无法识别集合。此外,如果直接传递字符串而是列表,可能会导致SQL语法错误,如IN (&#39;value1, value2&#39;),而正确应该是IN (&#39;value1&#39;, &#39;value2&#39;)。 解决方案应包括以下步骤: 1. 在Mapper接口方法中,使用`@Param`注解明确参数名,确保XML中的`collection`属性正确引用。 2. 在XML中使用`<foreach>`标签遍历列表,生成正确的逗号分隔值,每个值用单引号包裹。 3. 处理可能的空列表情况,避免SQL语法错误。 4. 区分基本类型和对象类型,确保使用`item`正确引用每个元素。 另外,需要提醒用户注意性能问题,比如大量参数可能导致SQL语句过长,以及索引的使用情况。同时,提供示例代码和常见错误分析,帮助用户理解如何避免常见的陷阱,如参数绑定异常或语法错误。 最后,生成相关问题,帮助用户进一步学习,比如如何处理空列表、性能优化方法等。</think>#### 分步解决方案:MyBatis中处理IN子句的字符串列表参数 --- ### 一、核心实现方案 **场景需求**:在MyBatis中通过`IN`子句查询字符串类型的字段,例如: ```sql SELECT * FROM org WHERE org_id IN (&#39;OR001&#39;, &#39;OR002&#39;, &#39;OR004&#39;) ``` --- #### 1. Mapper接口定义 **关键点**:使用`@Param`注解明确参数名,确保动态SQL正确识别集合类型。 ```java public interface OrgMapper { List<Org> findByOrgIds(@Param("orgIds") List<String> orgIds); // 字符串列表参数 } ``` --- #### 2. XML映射文件配置 **动态SQL逻辑**:通过`<foreach>`标签遍历字符串列表,自动生成引号字符参数。 ```xml <select id="findByOrgIds" resultType="org.example.Org"> SELECT * FROM org WHERE org_id IN <foreach item="id" collection="orgIds" open="(" separator="," close=")"> #{id} <!-- MyBatis自动添加单引号 --> </foreach> </select> ``` --- ### 二、常见错误规避 #### 错误1:参数未正确绑定 - **错误现象**:`There is no getter for property &#39;orgIds&#39; in &#39;class java.lang.String&#39;`[^4] - **原因**:未使用`@Param`注解或`collection`属性值错误。 - **修正**:确保接口方法中参数名为`@Param("orgIds")`,且XML中`collection="orgIds"`。 #### 错误2:SQL语法错误 - **错误写法**:直接拼接字符串(导致`IN (&#39;val1,val2&#39;)`) ```xml <!-- 错误示例 --> WHERE org_id IN (&#39;${orgIds}&#39;) ``` - **正确写法**:必须使用`<foreach>`生成逗号分隔的引号参数。 --- ### 三、扩展场景处理 #### 场景1:空列表容错 添加`<if>`标签避免空列表导致`IN ()`语法错误: ```xml <select id="findByOrgIds" resultType="org.example.Org"> SELECT * FROM org <where> <if test="orgIds != null and !orgIds.isEmpty()"> org_id IN <foreach item="id" collection="orgIds" open="(" separator="," close=")"> #{id} </foreach> </if> </where> </select> ``` #### 场景2:基本类型数组参数 若使用`String[]`数组而非`List<String>`: ```java List<Org> findByOrgIds(@Param("orgIds") String[] orgIds); // 数组参数 ``` XML中`<foreach>`的`collection`属性保持变: ```xml <foreach item="id" collection="orgIds" ...> ``` --- ### 四、性能优化建议 1. **参数数量限制**:避免`IN`子句包含过多值(如超过1000个),可分批查询。 2. **索引优化**:确保`org_id`字段有索引,提升查询效率[^1]。 3. **预编译语句**:MyBatis默认使用预处理语句防止SQL注入[^1]。 --- ### 五、代码验证示例 ```java // 调用示例 List<String> orgIds = Arrays.asList("OR001", "OR002", "OR004"); List<Org> result = orgMapper.findByOrgIds(orgIds); ``` 生成的SQL: ```sql SELECT * FROM org WHERE org_id IN (&#39;OR001&#39;,&#39;OR002&#39;,&#39;OR004&#39;) ``` --- ### 相关问题 1. **如何处理MyBatis中`IN`子句的空列表参数?** (答案:通过`<if>`标签跳过空列表生成) 2. **MyBatis中使用数组和List作为`IN`参数有何区别?** (答案:XML配置相同,接口参数类型同) 3. **如何避免`IN`子句参数过多导致的性能问题?** (答案:分页查询或分批处理) 4. **为什么MyBatis要求使用`@Param`注解绑定集合参数?** (答案:确保动态SQL正确解析参数名[^4])
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值