Mybatis #与$的区别

最新推荐文章于 2025-08-18 14:00:00 发布
原创 最新推荐文章于 2025-08-18 14:00:00 发布 · 151 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mybatis

本文详细介绍了在SQL查询中使用#与$符号的区别,#作为占位符避免了SQL注入风险,而$用于字符串拼接,适用于自定义排序和模糊查询场景,但存在SQL注入的安全隐患。

使用#进行查询

select * from test where id=#{id}

在这里插入图片描述

使用$进行查询

select * from test where id=${id}

在这里插入图片描述

区别

可以发现$相当于是在进行字符串拼接,而#只是占位符。用$存在sql注入的风险,#则没有

$使用场合

1. 自定义排序

当需要自定义排序的时候,需要用$

select * from test order by ${orderby} desc

可以根据前端传的orderby字段,自定义某个字段进行排序

2.查找

select * from test where address like '%${address}%'

当然也不是必须使用$的,可以使用concat拼接字符串,从而使用#

select * from test where address like concat('%',#{address},'%')
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$区别 在...
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
mybatis#$区别
白不懂黑的静的专栏
08-16 8560
转自:https://www.cnblogs.com/PoetryAndYou/p/11622334.html MyBatis中使用parameterType向SQL语句传参,parameterType支持的类型可以是基本类型int,String,HashMapjava自定义类型。 在SQL中引用这些参数的时候,可以使用两种方式: #{parameterName} ${parameterName} 首先,我们说一下这两种引用参数时的区别,使用#{parameterName}引用参数的时候,Myb
MyBatis#{}${}的区别
热门推荐
siwuxie095's blog
01-28 8万+
------------------------siwuxie095                         MyBatis#{} ${} 的区别       1、在 MyBatis 的映射配置文件中,动态传递参数有两种方式:    (1)#{} 占位符    (2)${} 拼接符          2、#{} ${} 的区
Mybatis #$区别以及原理
张井天的博客
06-04 4万+
总结: #可以防止Sql 注入,它会将所有传入的参数作为一个字符串来处理。 $ 则将传入的参数拼接到Sql上去执行,一般用于表名字段名参数,$ 所对应的参数应该由服务器端提供,前端可以用参数进行选择,避免 Sql 注入的风险 为什么? 为什么 # $ 的作用不同,Mybatis 对他们做了哪些惨无人道的处理,我们看一下下面的例子,并追踪一下源码总结。 示例代码: 创建一个 tb...
MyBatis#$区别
Daci Studio
12-13 1269
主要介绍MyBatis#$区别以及优劣势。
MyBatis# $区别使用场景
m0_73154147的博客
08-18 687
MyBatis#{}${}的主要区别:1)#{}是预编译参数占位符,自动类型转换且防SQL注入;2)${}是字符串拼接,直接替换SQL文本,存在注入风险。使用建议:条件值用#{}确保安全,动态表名/列名等场景才用${},但必须严格校验输入参数。核心原则是优先使用#{},仅在必要场景谨慎使用${}。
mybatis#$区别
qq_44031124的博客
06-29 602
然后,当执行SQL时,MyBatis会使用 "PreparedStatement 的 setXXX()方法"来设置参数值,"#{}":MyBatis会使用预编译的SQL语句,并为每个参数,设置相应的占位符(通常是"?这种方式,可以有效地防止SQL注入攻击,因为,参数值不会被解析为SQL的一部分。
MyBatis #$区别以及动态SQL
qiuqiushuibx的博客
04-03 1019
mybatis 基础
MyBatis#$区别
weixin_36873225的博客
08-01 580
下面是一个实例12345678select"map"SELECTFROMusersWHERE-- 为了方便拼接,可以始终使用一个始终成立的条件 -->-- 根据参数动态拼接排序字段排序顺序 -->= null">ORDERBY</if>
MyBatis#$符号区别
weixin_41939500的博客
07-05 442
符号时,参数值会直接拼接到SQL语句中,不会生成预编译的占位符。这种方式适用于动态表名或列名,但存在SQL注入风险。符号时,MyBatis会生成预编译的SQL语句,参数值会被安全地替换为占位符。这种方式可以有效防止SQL注入。符号直接拼接SQL,若参数值来自用户输入且未过滤,可能导致SQL注入。符号生成的预编译SQL可被数据库缓存,提高重复查询效率。符号用于参数替换,但两者的处理方式不同。符号每次拼接SQL,无法利用缓存。符号通过预编译机制避免此问题。符号会生成预编译的占位符(即。符号会直接替换为参数值。
Mybatis下动态sql中##$$区别讲解
08-26
Mybatis下动态sql中##$$区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis中,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis中,使用...
MybatisPlus的LambdaQueryWrapper用法
2301_79693537的博客
08-21 6774
【代码】MybatisPlus的LambdaQueryWrapper用法。
通信系统仿真实践.doc
12-12
通信系统仿真实践.doc
VisionMillionDataStudio_Adinkra-symbols408_38268_1765306788904.zip
12-12
VisionMillionDataStudio_Adinkra-symbols408_38268_1765306788904.zip
STM32F103C8T6使用蓝牙技术控制微角舵机
最新发布
12-12
先看效果: https://pan.quark.cn/s/c1451a50a683 STM32F103C8T6 Included is a demo project that flashes a led connected to PC13 (ready to run on an STM32 Mini Dev Board STM32F103C8T6). If you have an J-Link programmer you are allmost ready to play with your device. Configuration is done through these files: Building OpenOcd 0.9 Flashing target Edit file and chage or according to your board connector Install gcc cross compiler jtag/openocd.conftransport select jtagtransport select swd Flashing Maple Bootloader ` Hardware alt tag alt tag
可量产的成熟方案STM32三相逆变桥可调正弦波输出变频器逆变器方案-内容完整(原理图+PCB( AD格式)+BOOM+源
12-12
可量产的成熟方案STM32三相逆变桥可调正弦波输出变频器逆变器方案-内容完整(原理图+PCB( AD格式)+BOOM+源
(Mathcad+Simulink仿真)基于扩展描述函数法的LLC谐振变换器小信号分析设计
12-12
(Mathcad+Simulink仿真)基于扩展描述函数法的LLC谐振变换器小信号分析设计
mybatis#$
08-24
MyBatis 中,`#{}` `${}` 是两种用于处理参数的语法,它们的主要区别在于 SQL 注入安全性、参数处理方式以及使用场景。 - `#{}` 是预编译占位符,MyBatis 会将其视为 JDBC `PreparedStatement` 中的参数标记。使用 `#{}` 时,MyBatis 会自动对参数进行类型处理安全转义,从而有效防止 SQL 注入问题。这种写法适用于大多数参数传递场景,尤其是在需要将用户输入作为查询条件时[^1]。 ```sql SELECT * FROM users WHERE username = #{username}; ``` 上述语句中,`#{username}` 会被替换为 `?`,然后通过 `PreparedStatement` 设置参数值。 - `${}` 是字符串替换占位符,MyBatis 会将其直接替换为参数值,不做任何转义或预编译处理。这种方式适用于需要动态拼接 SQL 片段的场景,例如动态表名、列名等。但正因为不做处理,`${}` 存在 SQL 注入风险,使用时需格外谨慎。 ```sql SELECT * FROM ${tableName} WHERE id = #{id}; ``` 在该语句中,`${tableName}` 会被直接替换为传入的表名字符串,而 `#{id}` 则仍作为安全参数处理。 ### 使用建议 - 优先使用 `#{}` 来处理参数,以确保 SQL 安全性。 - 只有在确实需要拼接 SQL 片段(如动态表名)时,才使用 `${}`,并且应确保传入的值是可信的或经过严格校验。 ### 示例对比 使用 `#{}` 的 SQL 语句: ```sql SELECT * FROM users WHERE id = #{id}; ``` 如果 `id = 123`,最终生成的 SQL 是: ```sql SELECT * FROM users WHERE id = ?; -- 参数绑定:123 ``` 使用 `${}` 的 SQL 语句: ```sql SELECT * FROM ${tableName} WHERE id = #{id}; ``` 如果 `tableName = "users"`,`id = 123`,最终生成的 SQL 是: ```sql SELECT * FROM users WHERE id = ?; -- 参数绑定:123 ``` ### 总结 `#{}` `${}` 的核心区别在于是否进行预编译处理。`#{}` 提供了更高的安全性更稳定的参数处理机制,而 `${}` 则提供了更灵活但风险更高的字符串替换功能。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值