MySQL 中 # 和 $ 的区别

MyBatis参数
最新推荐文章于 2025-09-05 20:19:28 发布
原创 最新推荐文章于 2025-09-05 20:19:28 发布 · 3k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mysql #mybatis #数据库

本文介绍了MyBatis中#和$两种参数引用方式的区别。#方式会自动添加双引号并预编译SQL,能有效防止SQL注入;而$方式直接拼接值,不进行预编译,无法避免SQL注入攻击。
  1. # 和 $ 的区别:
    1.  mybatis中使用ParameterType向sql语句传参,在sql语句中引用这些参数的时候,有两种方式:#parameterName 和 $parameterName。
    2.  #parameterName 方式引用参数时,Mybatis会把传入的参数当成是一个字符串,自动添加双引号。
    3. $parameterName 方式引用参数时,不做任何处理,直接将值拼接在SQL语句中。
    4. # 是占位符,$ 是拼接符。
  2. # 可以防止SQL注入:
    1. 使用 # 能够防止SQL注入,$ 不能避免注入攻击。
    2. # 的方式引用参数,mybatis 会先对SQL语句进行预编译,然后再引用值,能够有效防止SQL注入,提高安全性。
    3. $ 的方式应用参数,SQL语句不进行预编译。

mysql${param}与#{param}使用区别
09-08
主要介绍了mysql${param}与#{param}使用区别,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
mysql#$区别
weixin_43740680的博客
01-02 7603
上网看了好多博客,大多都一个意思,但是自己好像没怎么彻底理解具体原因,只是大概知道几个点还是记下的,并未理解。 最后看到https://blog.youkuaiyun.com/qq_35978746/article/details/54944644算是明白了其中的道理; 总结下来就以下这麽几点: 1:# 自己会带有双引号,$并不会 2:${ } 变量的替换阶段是在动态 SQL 解析阶段,而 #{ }在动态解析...
《深入理解mybatis原理(十二)》 mybatis深入理解之#$区别
热门推荐
pfnie的博客
11-19 1万+
一、介绍       mybatis 中使用 Mapper.xml里面的配置进行 sql 查询,经常需要动态传递参数,例如我们需要根据用户的姓名来筛选用户时,sql 如下: select * from user where name = "Jack";上述 sql 中,我们希望 name 后的参数 "Jack" 是动态可变的,即不同的时刻根据不同的姓名来查询用户。在 Ma
MyBatis----#$区别是什么?什么情况必须用$
最新发布
m0_74938293的博客
09-05 242
{}在MyBatis的mapper文件中,可以使用#{param}${param}来作为动态参数的替换。
mysql#$区别
Sunjin_shuai的博客
03-06 1385
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为or...
mysql$区别_#$区别
weixin_42358791的博客
01-19 2395
他们之间的区别用最直接的话来说就是:#相当于对数据 加上 双引号,$相当于直接显示数据。1、#对传入的参数视为字符串,也就是它会预编译select * from user where name = #{name}比如我传一个csdn,那么传过来就是select * from user where name = 'csdn'2、$将不会将传入的值进行预编译select * from user whe...
badSQL,myBatis#$区别
揣金磊 的博客
12-18 358
badSQL,myBatis#$区别 在这里插入代码片#{}是预编译处理, $ {}是字符串替换。mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值;mybatis在处理 $ {}时,就是把 $ {}替换成变量的值。使用#{}可以有效的防止SQL注入,提高系统安全性。 对于这个题目我感觉要抓住两点: (1)$ 符号一般用来当作占...
MyBatis#$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 2006
#{}${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
MySQL#$区别
06-03
MySQL 中,"#" "$" 都没有特殊含义,它们不具有任何SQL语句的作用,也不能用于注释。 但是,在 MySQL 中,"#" 可以作为存储过程中的注释符号。具体来说,当在存储过程中使用 "#" 后,其后的内容会被视为注释...
MySQL 中 `${}` `#{}` 占位符详解及面试高频考点
weixin_44435110的博客
04-16 1537
MySQL MyBatis 等框架中,${}#{}是动态 SQL 中常用的占位符。它们的核心差异在于预编译机制安全性,正确使用二者是后端开发的基本功,也是面试中的高频考点。本文将从原理、场景、安全性及面试题四方面深入解析。#{}用于替换值类型(如 WHERE 条件值、INSERT 字段值),通过预编译,防止 SQL 注入。${}用于替换标识符(如表名、列名、ORDER BY 子句),直接拼接字符串,需手动校验安全性。场景占位符示例WHERE 条件值#{}动态表名/列名${}
mysql #$区别
12-13
MySQL中,`#` `$` 都可以用于标识变量,但在不同的上下文中它们有不同的...1. MySQL中的局部变量全局变量有何区别? 2. 如何在MySQL存储过程中使用`$`标识的预定义变量? 3. 使用`#``$`在性能上会有何差异?
mysql $#
心之所系的博客
03-14 3802
1.mybatis$的作用及使用规则  在mybatis中,”${xxx}”这样格式的参数会直接参与sql编译,从而不能避免注入攻击。但涉及到动态表名列名时,只能使用“${xxx}”这样的参数格式 2.mybatis$#区别  #xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql
Mysql # $
weixin_44045132的博客
08-05 463
MySQL # $
mysql #$区别
qq_37361514的博客
07-04 2496
1、#$区别mybatis中使用ParameterType向sql语句传参,在sql语句中引用这些参数的时候,有两种方式#parameterName,$parameterName两者的区别:使用#parameterName方式引用参数的时候,Mybatis会把传入的参数当成是一个字符串,自动添加双引号。$parameterName引用参数时,不做任何处理,直接将值拼接在SQL语句中。#是一个占位符,$是拼接符2、如何防止SQL注入使用#能够防止SQL注入,$不能避免注入攻击#的方式引用参数,mybati
mysql#$
SmileTimLi的博客
05-09 7160
1、# 原样输出 select * from table where name = #{param} 则解析成的sql为: select * from table where name = “id” 为了安全,能用#的地方就用#方式传参,这样可以有效的防止sql注入攻击 2、$可能会sql注入 sql注入简介 某个网站的登录验证的SQL查询代码为: strSQL = ...
mysql #$区别
liulang68的博客
03-19 281
select * from user order by ${order_by} desc 这里传的是表用的是$,所以我的理解是#{}传的是会引用到我们具体是id的那个值呀,或者姓名是什么,$表名就是表名,${id}输出的就是id,而不是id对应得是1还是2 ...
mysql语法之--#$符号关键字的用法(一)
qq_31104067的博客
12-30 6392
一、#$ 的sql拼接区别       1、${param}传递的参数会被当成sql语句中的一部分,比如传递表名,字段名            例子:(传入值为id)                     order by ${param}                      则解析成的sql为:                      order b
mysql#{} ${} 区别
smart_an的专栏
12-28 528
作者简介:大家好,我是码炫码哥,前中兴通讯、美团架构师,现任某互联网公司CTO,兼职码炫课堂主讲源码系列专题代表作:《jdk源码&多线程&高并发》,《深入tomcat源码解析》,《深入netty源码解析》,《深入dubbo源码解析》,《深入springboot源码解析》,《深入spring源码解析》,《深入redis源码解析》等联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬。
MySQL #{}${}的区别是什么
Flying_Fish_roe的博客
11-08 1728
{}在 MyBatis 中,#{}${}是两种不同的占位符,用于生成 SQL 语句。#{}将参数安全地绑定到 SQL 语句中,防止 SQL 注入,是推荐的使用方式。${}直接将参数插入到 SQL 语句中,存在 SQL 注入风险,应该谨慎使用。开发者在使用 MyBatis 时,应优先考虑使用#{}来处理用户输入的数据,只有在特定需要动态构建 SQL 语句的情况下,且确保数据来源可信时,才使用${}。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值