MyBatis-映射文件03-两种取值方法(# or $)

最新推荐文章于 2024-12-20 20:48:31 发布
最新推荐文章于 2024-12-20 20:48:31 发布
阅读量351 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Java框架 文章标签: MyBatis 取值方法 #{}取值 ${}取值
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Eileen___/article/details/102731412
本文探讨了MyBatis中#{}和${}两种取值方法的使用及区别。#{}以预编译方式设置SQL语句,能防止SQL注入,而${}直接拼接SQL,存在安全隐患。建议一般情况使用#{},但在如分表查询等特殊场景下需使用${}。此外,介绍了#{}的更多高级用法,如jdbcType设置,以及如何处理Oracle数据库对null值的特殊处理问题。" 107460370,9298436,洛谷P1135奇怪电梯题解:C++ BFS解析,"['算法', 'C++', '编程题解', 'BFS', '洛谷']

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

MyBatis-映射文件03-两种取值方法(# or $)

#{}:可以获取map中的值或者POJO对象属性的值
${}:可以获取map中的值或者POJO对象属性的值
区别:
#{}:是以预编译的形式设置到sql语句中;PreparedStatement,可以防止sql注入
${}:取出的值直接拼接在sql语句中;会有安全问题

示例:

sql:

select id,last_name,email,gender from tbl_employee where id = ${id} and last_name = #{lastName}

我们调用方法执行该sql,可以发现在控制台输出:

 Preparing: select id,last_name,email,gender from tbl_employee where id = 1 and last_name = ?

可以看出使用 $ 取值是直接将值拼接到sql语句中,这样会存在sql注入的安全问题,因此大多数情况下都应该使用 # 来取值

但是,在某些情况下,比如原生sql不支持占位符的地方,例如分表查询,以部分表名为参数,要使用 $ 来取值

示例:

sql:

select id,last_name,email,gender from #{tablename}_employee where id = ${id} and last_name = #{lastName}

此时用#取表名的值会出现sql语法异常错误,而应该使用$来取值

#{}更丰富的用法:

规定参数的一些规则:javaType、jdbcType、mode(存储过程)、numericScale、resultMap、typehandler、jdbcTypeName、expression(未来准备支持的功能)

jdbcType:通常需要在某种特定的条件下被设置
当我们的数据为null的时候,有些数据库可能不能识别mybatis对null的默认处理,比如Oracle数据库(报错),如果向Oracle数据库插入null,会报错为:jdbcType OTHER:无效的类型,因为mybatis对所有的null都映射的是jdbc的OTHER类型,Oracle不能正确处理
解决办法:
1.#{email,jdbcType=NULL}

insert into employee(Employee_ID,last_name,email) values(#{id},#{lastName},#{email,jdbcType=NULL})

2.由于全局配置中:jdbcTypeForNull默认为OTHER,Oracle不支持,修改全局配置文件的 jdbcTypeForNull为NULL

<settings>
	<setting name="jdbcTypeForNull" value="NULL"/>
</settings>
MyBatis-Executor源码全面分析
Javaer
08-14 389
全面分析MyBatis执行器相关源码,细节到每一个类!!!!
mybatis详解()
热门推荐
Ferao的博客
03-21 15万+
mybatis详解
mybatis - 取值符号:#$的区别
pig_ning的博客
04-25 1050
mybatis - 取值符号:#$的区别
Mybatis关系映射
小叔的秘密房间
10-14 1095
一、映射文件 (一)Mapper文件 cache 给定命名空间的缓存配置。 cache-ref 其他命名空间缓存配置的引用。 resultMap 最复杂也是最强大的元素,用来描述如何从数据库结果集中来加载对象 sql 可被其他语句引用的可重用语句块 insert 映射插入语句 update 映射修改(更新)语句 delete 映射删除语句 select 映射查询语句 二、动态SQL 三、关联查...
Mybatis学习笔记-11 取值符号$#以及SQL注入问题
The Shawshank Redemption
01-07 816
区别1: 当有@Parm("xx")指明参数名称时,对于数值型数据,#$不存在实质性的区别,对于字符型数据,$取出的值是不会自带引号''的。 数值型实验: 1. 在DAO中添加方法 User queryUserById(@Param("id") Integer id); 2. 编Mapper.xml A. 采用#取值 <sql id="user_field"> select id,username,password,gender,regist_ti.
Mybatis两种取值方式#{ } 与${ } 使用时需要注意的地方
Anakki的博客
12-02 2064
需要映射的接口: /** * 根据id查询管理员 * @param id * @return */ Manager retrieveManagerById(@Param("id")Integer id); /** * 根据名字查询管理员 * @param name * @return */ Manager retrieveManagerByName(@Param("name")...
老司机学习MyBatis#$取值区别
Java小蚂蚁
06-10 933
一、前言动态SQLMyBatis的主要特性之一,在mapper中定义的参数传到XML中之后,在查询之前 mybatis 会对其进行动态解析。MyBatis 为我们提供了两种支持动态SQL的语法:#{} 以及 ${}。二、案例下面我们通过相关案例来演示一下$#的用法。UserMapper.xml文件中查询语句最初法&lt;select id="findUserByMapParam" para...
Mybatis-Plus 新手入门,一篇足以
m0_65992672的博客
05-08 813
MyBatis-Plus.简介、入门案例、增删改查、BaseMapper、通用Service、IService、常用注解、@TableName、@TableId、@TbaleField、@TableLogic、条件构造器、QueryWrapper、UpdateWrapper、LambdaQueryWrapper、分页插件、乐观锁、通用枚举、代码生成器、多数据源、MyBatisX插件
Mybatis专栏---Mapper XML的解析和注册使用
m0_73378442的博客
12-20 808
*** 打开一个 session*/这个是一个简单工厂的定义,在工厂中提供接口实现类的能力,也就是SqlSessionFactory工厂中提供的开启SqlSession的能力。SqlSession接口封装了相应的SQL操作,具体由DefaultSqlSession实现。
Mybatis - 应用篇 (一、基础应用)
kkkkatoq的博客
08-05 1075
MyBatis 本是apache的一个开源项目iBatis,2010年这个项目由apache software foundation 迁移到了google code,并且改名为MyBatis。2013年11月迁移到Github。MyBatis是一个优秀的持久层框架,它对jdbc的操作数据库的过程进行封装,使开发者只需要关注SQL本身,而不需要花费精力去处理例如注册驱动、创建connection、创建statement、手动设置参数、结果集检索等jdbc繁杂的过程代码。
Mybatis系列笔记一——ORM(对象关系映射)
qq_53226437的博客
02-18 2247
ORM 概念 ORM,Object-Relationl Mapping,对象关系映射,它的作用是在关系型数据库和对 象之间作一个映射处理 开发痛点 JDBC 的缺点:需要手动的完成面向对象的 Java 语言、面向关系的数据库之间数据的转换,代码繁琐无技术含量,影响了开发效率 ORM给出的方案 关于面向对象的 Java 语言、面向关系的数据库之间数据的转换必须要做,问题在于这个转换是否可以不由开发者来做?答案是可以的。ORM 框架就是专门来解决这个问题的, 相当于在面向对象语言和关系数据库之间搭建一个桥梁。
mybatis$#取值的区别
qq_18846873的博客
04-27 1646
mybatis中可以使用${} 和 #{}两种方法获取参数,二者的区别如下: 1、在传入参数为8种基本类型+String类型时, ${value}:原值替换,并且{}中只能成value #{任意名称}:在任意名称前后加引号,并且{}中可以任意名称都可以识别; 2、在传入参数为对象类型时, #{属性名} :{中必须为属性名},有引号 ${属性名}:{中必须为属性名},无引号 3、...
MyBatis_参数处理_#$取值区别
qq_36901488的博客
06-03 342
#{}:可以获取map中的值或者pojo对象属性的值,只能取出参数位置的值; select * from #{tableName} where id=${id} and last_name=#{lastName} 向上面的#{tableName}是取不到的,因为它不是参数位置的值 #{}:是以预编译的形式,将参数设置到sql语句中;PreparedStatement;防止sql注入 ...
MyBatis取值方式#{}和${}的区别
qq_41124871的博客
06-23 948
select * from user where id=${id} and user_name=#{username} Preparing: select * from user where id=2 and user_name=? 区别 1、#{}:是以预编译的方式将参数设置到 sql 语句中的,相当于 PreparedStatement 可以防止 sql 注入攻击 ${}...
Java框架 MyBatis获取参数值的两种方式
weixin_65637841的博客
08-12 670
MyBatis获取参数值的两种方式:${}和#{} ${}的本质就是字符串拼接,#{}的本质就是占位符赋值 ${}使用字符串拼接的方式拼接sql,若为字符串类型或日期类型的字段进行赋值时,需要手动加单引号; #{}使用占位符赋值的方式拼接sql,此时为字符串类型或日期类型的字段进行赋值时,可以自动添加单引号...
mybatis orm映射框架的两种
火焰云的博客
01-26 421
1、在接口中通过注解的方式进行sql 1-1、pom.xml文件引入依赖的jar文件gav <dependency> <groupId>org.mybatis</groupId> <artifactId>mybatis</artifactId> <version>3.4.6</version> </depende
mybatis xml中的动态sql需要and和or拼接条件判断的
chd_sun的博客
11-20 2万+
通常在java后台或者前端js中多个条件组合判断中使用and或者or 如下 //使用&或者&& | 和|| if(a==1&b==2){ } //或者sql中的and和or select * from emp where empno='7788' and deptno='20' 但是动态sql呢? 那就需要()把每一个条件括起来在加and 或者or //动态添加...
MyBatis获取参数值的两种方式#{}和${} 以及 获取参数值的各种情况
·
09-13 1386
SQL 语句中使用 #{},MyBatis 会自动将参数值进行预编译处理,防止 SQL 注入攻击,并且可以处理各种类型的参数(如字符串、数字、日期等)。但是#{}使用占位符赋值的方式拼接sql,此时为字符串类型或日期类型的字段进行赋值时,可以自动添加单引号。使用arg或者param都行,要注意的是,arg是从arg0开始的,param是从param1开始的。因此只需要通过${}和#{}访问map集合的键就可以获取相对应的值,注意${}需要手动加单引号。MyBatis获取参数值的两种方式:${}和#{}
MyBatisMyBatis取值两种方式
weixin_51325964的博客
10-25 1092
Mybatis获取参数值的方式介绍
Mybatis动态SQLd的Mapper接口
最新发布
03-31
用户提供的引用[1]和[2]提到了动态SQL的条件判断和两种取值方式,这应该在示例中体现。比如,使用标签判断参数是否存在,用#{}和${}的区别。需要确保示例中的取值方式正确,并指出潜在问题,如SQL注入。 接下来,我...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值