新人一看就懂: #{} 和 ${} 的区别?

已于 2024-04-11 16:47:14 修改
阅读量1.6w 收藏 135
点赞数 52
分类专栏: ssm 面试总结 文章标签: mybatis
于 2023-03-01 21:53:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/CYK_byte/article/details/129283220
版权

目录

一、区别概述

1.1、主要区别:

1.2、细节上:

二、具体描述

2.1、预编辑处理 vs 直接替换

2.2、SQL  注入问题

2.2.1、引发 SQL 注入

2.2.2、SQL 注入分析

2.3、排序查询

2.4、like 查询

2.4.1、${} 模糊查询

2.4.2、#{} 模糊查询

2.4.3、#{} 模糊查询问题分析

一、区别概述

1.1、主要区别:

1、#{} 是预编译处理,${} 是直接替换

2、${} 存在SQL注入的问题,而 #{} 不存在;

Ps:这也是面试主要考察的部分~

1.2、细节上:

1、${} 可以实现排序查询,#{} 不能实现排序查询。

2、${} 可以直接进行模糊查询(但不建议,存在 SQL 注入问题),#{} 不可以直接进行模糊查询,但可以通过  mysql 内置函数 concat() 实现模糊查询(不存在 SQL 注入问题)。

</

了解本专栏 订阅专栏 解锁全文
【原理图PCB专题】案例:从新人第块PCB看看核对Gerber有多重要?
一点硬件
08-13 120
在最终PCB制造时,我们需要最终核对gerber文件,以确保最终生产的板卡是无误的。往往如果有核对gerber,可能可以卡下很多简单的异常。
篇文章搞数据仓库:三种事实表(设计原则,设计方法、对比)
2401_84166536的博客
04-28 1870
粒度是个订单行数据,创建订单时间,付款时间,发货时间,收货时间,分别作为个字段,便于计算不同业务过程的时间间隔。在 Kimball 的维度建模中,通常按照星形模型的方式设计,通过事实表的外键关联专门的维表,这种方式来获取维度,谨慎使用退化维表;订单支付金额订单票数,两个事实的粒度为 “订单级”,属于上层订单级数据,与 “票级” 事实表的粒度不致,且不能进行汇总;如,订单金额、订单优惠金额、订单运费这 3 个事实,应该采用统的计量单位,统为元或者分,以方便使用;
面试突击76:${} #{} 有什么区别
Chenhui98的博客
08-23 576
{}${}是直接替换,而 #{} 是预处理;2、使用场景不同:普通参数使用 #{},如果传递的是 SQL 命令或 SQL 关键字,需要使用${},但在使用前定要做好安全验证;3、安全性不同:使用${}存在安全问题,而 #{} 则不存在安全问题。来源:https://juejin.cn/post/7134865815001628702。
Mybatis中,#{}${}的区别是什么?
最新发布
完全体
02-25 439
Mybatis 在处理#{}时,会将 sql 中的#{}替换为?使用#{}可以有效的防止 SQL注入,提高系统安全性。是两种不同的占位符,用于在 SQL 语句中插入参数。是字符串替换占位符,存在 SQL 注入风险,适合动态生成 SQL 语句的部分内容。是 MyBatis 的字符串替换占位符,用于直接替换 SQL 语句中的部分内容。:直接替换 SQL 语句中的内容,存在 SQL 注入风险。替换为实际的参数值,生成完整的 SQL 语句。替换为实际的表名,生成完整的 SQL 语句。设置参数,防止 SQL 注入。
Java #{}${}区别
gcfffff的博客
08-21 1754
Java #{}${}区别 Mybatis中使用#{}可以防止sql注入 #{}: 表示个占位符号,实现向PreparedStatement占位符中设置值(#{}表示个占位符?),自动进行Java类型到JDBC类型的转换(因此#{}可以有效防止SQL注入).#{}可以接收简单类型或PO属性值,如果parameterType传输的是单个简单类型值,#{}花括号中可以是value或其它名称. :表示拼接SQL串,通过:表示拼接SQL串,通过{}可将parameterType内容拼接在SQL中而不进行JDB
#{}与${}的区别
热门推荐
weixin_44863976的博客
09-08 1万+
#{}与${}的区别 区别 1. #{} 解析为个 JDBC 预编译语句(prepared statement)的参数标记符,#{ } 被解析为个参数占位符;而${}仅仅为个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。 2. #{} 解析之后会将String类型的数据自动加上引号,其他数据类型不会;而${} 解析之后是什么就是什么,他不会当做字符串处理。 3...
#{} ${} 的区别
weixin_45817985的博客
07-13 3860
#{}与${}
#{}${}的区别
qq_45841851的博客
03-28 1457
#{}${}的区别 1、概念 #{} : MyBatis 在处理 #{} 时,会将 SQL 中的***#{} 替换为 ?*** 预编译 SQL,通过 PreparedStatement 的 setXxxx 的方法进行参数赋值。 使用 #{} 可以有效地防止 SQL 注入。 ${} MyBatis 在处理 ${} 时,会直接把*** ${} 替换为参数值***, 存在 SQL 注入的风险。 #{} 比 ${} 安全,但还是提供了 ${} 这种动态替换参数的方式,是因为有些复杂
七年级地理上学期第次月考试题(扫描版)新人教版(2021-2022学年).pdf
02-26
"新人教版"则说明这份试题是依据新的人教版(人民教育出版社)教材编写的,这意味着试题的内容结构将紧密贴合该版本教材的教学要求。 【描述】与【标题】相同,再次确认了文件的性质——份2021-2022学年度的七...
#{}${}的区别
weixin_50977434的博客
11-10 2595
简单明了实用
java中#{} ${} 的区别?
qq_45688811的博客
10-10 1926
需要注意的是,默认情况下,占位符的值被视为字符串。在SpringMyBatis等框架中,可以通过设置相关配置来指定占位符的默认类型或执行自定义类型转换逻辑。是Property Placeholder占位符,用于在Java应用程序中引用外部属性或配置项的值。是MyBatis框架中使用的占位符,也被称为参数占位符。是Spring框架中使用的占位符,也被称为属性占位符。来表示个参数占位符,它将会在SQL执行时被替换为实际的参数值。是MyBatis中使用的参数占位符,用于在SQL语句中插入参数值。
(Java)#{}与${}的区别
热爱技术,热爱生活!
12-09 1763
区别 1.#{}解析为个 JDBC 预编译语句(prepared statement)的参数标记符,#{ }被解析为个参数占位符;而${}仅仅为个纯碎的 string 替换,在动态SQL 解析阶段将会进行变量替换。 #{}解析之后会将String类型的数据自动加上引号,其他数据类型不会;而${}解析之后是什么就是什么,他不会当做字符串处理。 #{}很大程度上可以防止SQL注入(SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作);而${}主要用于S.
#{}${}的区别是什么?
qq_40826814的博客
05-15 7514
osc_kf98pg0d 2020/01/20 14:45 阅读数 3.1K 动态sql是mybatis的主要特性之,在mapper中定义的参数传到xml中之后,在查询之前mybatis会对其进行动态解析。mybatis为我们提供了两种支持动态sql的语法:#{}以及${}。 面试题:#{}${}的区别是什么? 1)#{}是预编译处理,$ {}是字符串替换。 2)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatem...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

陈亦康

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值