【MyBatis】#{}和${}的区别

最新推荐文章于 2023-07-13 18:00:00 发布
最新推荐文章于 2023-07-13 18:00:00 发布
阅读量230 收藏
点赞数
分类专栏: 开发框架 文章标签: mybatis # $ sql注入 动态 sql 
本文介绍了MyBatis中的动态SQL特性,包括#{}

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

     动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。

(1)# 将传入的数据当成一个字符串,会对自动传入的数据加一个双引号。如:select * from User where parentid =  #{parentId} 当parentId的值为100的时候 

         sql就会解析为 select * from User where parentid = “100”

(2)$ 将传入的数据直接显示在sql语句中。如:select * from User where parentid =  ${parentId} 当parentId的值为100的时候

          sql会解析为select * from User where parentid = 100

 以上,#{} 的参数替换是发生在 DBMS 中,而 ${} 则发生在动态解析过程中。

  那么,在使用过程中我们应该使用哪种方式呢?

  答案是,优先使用 #{}。因为 ${} 会导致 sql 注入的问题。看下面的例子:

select * from ${tableName} where name = #{name}

  在这个例子中,如果表名为

   user; delete user; -- 

  则动态解析之后 sql 如下:

select * from user; delete user; -- where name = ?;

  --之后的语句被注释掉,而原本查询用户的语句变成了查询所有用户信息+删除用户表的语句,会对数据库造成重大损伤,极大可能导致服务器宕机。

  但是表名用参数传递进来的时候,只能使用 ${} ,具体原因可以自己做个猜测,去验证。这也提醒我们在这种用法中要小心sql注入的问题。

本文转载自:https://www.cnblogs.com/kangyun/p/5881531.html

新人一看就懂: #{} ${} 的区别
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
MyBatis#$符的区别sql注入问题,动态sql语句
m0_73381672的博客
02-06 1913
#{}${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
#{}${}的区别是什么?
yangAugust的博客
11-29 622
a、#{}是预编译处理,${}是字符串替换。 b、Mybatis 在处理#{}时,会将 sql 中的#{}替换为?号,调用 PreparedStatement 的 set 方法来赋值; c、Mybatis 在处理时,就是把{}时,就是把时,就是把{}替换成变量的值。 d、使用#{}可以有效的防止 SQL 注入,提高系统安全性。 ...
#{}与${}的区别
热门推荐
weixin_44863976的博客
09-08 1万+
#{}与${}的区别 区别 1. #{} 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符;而${}仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。 2. #{} 解析之后会将String类型的数据自动加上引号,其他数据类型不会;而${} 解析之后是什么就是什么,他不会当做字符串处理。 3...
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$区别...
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Mybatis动态sql##$$区别讲解
08-26
Mybatis动态sql##$$区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis中,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis中,使用...
浅谈mybatis中的#$区别
09-02
MyBatis中,`#``$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
mybatis #{}${}的区别是什么
weixin_30895603的博客
04-16 1658
#{}${}的区别是什么?正确的答案是:#{}是预编译处理,${}是字符串替换。(1)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值。(2)mybatis在处理${}时,就是把${}替换成变量的值。(3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输...
#{} ${} 的区别
weixin_45817985的博客
07-13 3952
#{}与${}
面试突击76:${} #{} 有什么区别
Chenhui98的博客
08-23 601
{}${}是直接替换,而 #{} 是预处理;2、使用场景不同:普通参数使用 #{},如果传递的是 SQL 命令或 SQL 关键字,需要使用${},但在使用前一定要做好安全验证;3、安全性不同:使用${}存在安全问题,而 #{} 则不存在安全问题。来源:https://juejin.cn/post/7134865815001628702。
mybatis#$区别
最新发布
04-28
### MyBatis中`#`与`$`的区别 #### 1. 基本概念 在 MyBatis 中,`#{}` `${}` 是用于动态替换 SQL 参数的两种不同语法形式。两者的实现机制适用场景有所不同。 - `#{}` 表达式会被 MyBatis 转换为 JDBC 的 PreparedStatement 形式的占位符 (`?`) 并通过预编译的方式绑定参数值[^3]。 - `${}` 则是简单的字符串替换操作,直接将变量值插入到 SQL 字符串中[^4]。 --- #### 2. 工作原理对比 ##### (1) `#{}` 预编译方式 当使用 `#{}` 时,MyBatis 会将其转换为 JDBC 的 PreparedStatement,并调用其 `setXXX()` 方法来设置参数值。这种机制能够有效防止 SQL 注入攻击,因为它确保了参数值不会被解析为 SQL 的一部分[^3]。 示例代码如下: ```sql <select id="getUserById" parameterType="int" resultType="User"> SELECT * FROM users WHERE id = #{userId} </select> ``` 在此例子中,`#{userId}` 将被替换成一个问号 (`?`),最终生成的 SQL 如下: ```sql SELECT * FROM users WHERE id = ? ``` 随后,MyBatis 使用 `PreparedStatement.setXXX()` 设置实际参数值。 --- ##### (2) `${}` 字符串替换方式 `${}` 的作用是对传入的参数进行简单替换,不涉及任何预编译或安全性检查。因此,在某些情况下可能会导致 SQL 注入风险[^4]。 示例代码如下: ```sql <select id="getUsersByTable" resultType="User"> SELECT * FROM ${tableName} WHERE status = &#39;active&#39; </select> ``` 如果 `tableName` 的值为 `"users"`,则最终生成的 SQL 为: ```sql SELECT * FROM users WHERE status = &#39;active&#39; ``` 但如果 `tableName` 来自外部输入且未经过验证,则可能导致恶意注入行为。 --- #### 3. 安全性比较 由于 `#{}` 使用的是预编译机制,因此可以很好地防范 SQL 注入问题;而 `${}` 只是一个单纯的字符串拼接工具,无法提供类似的保护措施。所以,在涉及到用户输入或其他不可信任的数据源时,应优先考虑使用 `#{}`。 --- #### 4. 应用场景分析 | 特性 | `#{}` | `${}` | |---------------------|------------------------------------------------------------------------------------------|---------------------------------------------------------------------------------------| | **工作模式** | 预编译 SQL | 简单字符串替换 | | **安全性** | 较高(能有效预防 SQL 注入) | 较低(容易受到 SQL 注入威胁) | | **适用范围** | 大多数常规查询条件字段,如数值、字符串等 | 动态表名、列名或者需要嵌套复杂表达式的场合 | 具体来说: - 如果只是普通的查询条件(比如 ID 或者名称),推荐采用 `#{}`; - 当遇到必须手动指定表名或者其他元数据的情况时才适合运用 `${}`。 --- ### 总结表格 | 对比项 | `#{}` | `${}` | |--------------------|-----------------------------------------------------------------------------------------|--------------------------------------------------------------------------------------| | 替换时机 | 执行 SQL 前由 MyBatis 自动完成 | 解析阶段即刻发生 | | 是否支持预编译 | 支持 | 不支持 | | 数据类型适配 | 自动匹配 | 需要显式声明 | | SQL 注入防护能力 | 强 | 弱 | | 推荐使用的场景 | 普通参数传递 | 动态修改 SQL 结构的部分,例如表名/列名 | ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值