Mybatis # 和 $ 的区别及参数如何对应

最新推荐文章于 2024-03-01 15:10:20 发布
最新推荐文章于 2024-03-01 15:10:20 发布
阅读量377 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Mybatis 文章标签: Mybatis 参数解析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Run_by_Wind/article/details/105697599
本文深入探讨MyBatis中参数解析机制,包括ParamNameResolver如何处理@Param注解,解析方法参数,以及单参数和多参数场景下#和$符号的区别。解析MyBatis对不同类型的参数处理方式,如单参数、多参数和@Param注解参数的处理流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

调试 ParamNameResolver.

final Annotation[][] paramAnnotations = method.getParameterAnnotations();

二维数组,第一维是参数长度,第二维是注解个数.

1.看参数上是否有 @Param 注解,有就读取该注解中的值.
2.如果第1步不成立,则看能否获取实际参数名.
3.如果还不行,则是第几个参数(排除特殊参数,例如 RowBound 等).
// 解析方法参数.
public ParamNameResolver(Configuration config, Method method) {
// 获取方法的所有类型
final Class<?>[] paramTypes = method.getParameterTypes();
// 获取参数中的注解.
final Annotation[][] paramAnnotations = method.getParameterAnnotations();
final SortedMap<Integer, String> map = new TreeMap<>();
int paramCount = paramAnnotations.length;
// get names from @Param annotations
for (int paramIndex = 0; paramIndex < paramCount; paramIndex++) {
// 忽略掉 RowBounds 和 ResultHandler 这两类参数.
if (isSpecialParameter(paramTypes[paramIndex])) {
// skip special parameters
continue;
}
String name = null;
// 解析 @Param 注解.
for (Annotation annotation : paramAnnotations[paramIndex]) {
if (annotation instanceof Param) {
hasParamAnnotation = true;
name = ((Param) annotation).value();
break;
}
}
if (name == null) {
// @Param was not specified.
if (config.isUseActualParamName()) {
name = getActualParamName(method, paramIndex);
}
if (name == null) {
// use the parameter index as the name (“0”, “1”, …)
// gcode issue #71
name = String.valueOf(map.size());
}
}
map.put(paramIndex, name);
}
names = Collections.unmodifiableSortedMap(map);
}

如果参数中没有 @Param 注解,且只有一个参数,则返回 arg[0] 即可.
如果有多个参数或有 @Param 注解,则:
<param0, V> <param1, V> 等 +

好需要注意一点,我们知道,Mybatis 对于单参数的处理,是直接返回的 args[0]. 这样的话,args[0] 可以是任意类型,例如 Collection 或者 Array.
Mybatis 对单参数的情况进行了包装. 会将参数封装成 map.
map.put(“collection, arg[0]) or map.put(“list”, arg[0])
map.put(“array”, arg[0])

接下来看下 # 和 $ 的区别.

单参数. 压根就不需要管 #{id} 还是 #{name}(和参数名无关),它会使用占位符,统一替换成 ?,最后通过 PreparedStatement 设置参数即可.

因为它是通过下标设置的.

$ 单参数,必须通过 ${value} 获取参数.
为啥是通过 ${value} 来获取了?可以看下 TextSqlNode 类.
public String handleToken(String content) {
Object parameter = context.getBindings().get("_parameter");
if (parameter == null) {
context.getBindings().put(“value”, null);
} else if (SimpleTypeRegistry.isSimpleType(parameter.getClass())) {
context.getBindings().put(“value”, parameter);
}
Object value = OgnlCache.getValue(content, context.getBindings());
String srtValue = (value == null ? “” : String.valueOf(value)); // issue #274 return “” instead of “null”
checkInjection(srtValue);
return srtValue;
}

或者通过 @Param 注解的话,则使用 ${id} 可以获取. 还是同一段代码,但是这时候 _parameter 就是一个 map 了,所以可以获得值.
public String handleToken(String content) {
Object parameter = context.getBindings().get("_parameter");
if (parameter == null) {
context.getBindings().put(“value”, null);
} else if (SimpleTypeRegistry.isSimpleType(parameter.getClass())) {
context.getBindings().put(“value”, parameter);
}
Object value = OgnlCache.getValue(content, context.getBindings());
String srtValue = (value == null ? “” : String.valueOf(value)); // issue #274 return “” instead of “null”
checkInjection(srtValue);
return srtValue;
}

多参数时,# 或 $ 都是通过 ${param1} ${param2} 或 #{param1} #{param2} 来获取的.

MyBatis#{}${} | 数据库连接池
不能再留遗憾了的博客
01-09 2824
MyBatis中最常见的面试题——#{}${}的区别数据库连接池
MyBatis怎么使用动态表名(#$区别
wobuxiangxin1314的博客
11-06 1400
MyBatis怎么使用动态表名(#$区别
Mybatis中的${}#{}区别
m0_62520968的博客
05-10 1513
一、${}与#{}的区别 1、符号类型 (1)#{}:参数占位符,即预编译 (2)${} :字符串替换符,即SQL拼接 2、防注入问题 (1)#{}:很大程度上能防止sql 注入 (2)${}:不能防止sql 注入 3、参数替换位置 DBMS:数据库管理系统(Database Management System)是一种操纵管理数据库的大型软件,是用于建立、使用维护数据库,简称DBMS。它对数据库进行统一的管理控制,以保证数据库的安全性完整性。用户通过DBMS访问数据库中的数据数据库管理员也通
请简述MyBatis#{} ${} 之间的区别
Jiali的博客
05-10 2159
​ 首先都可以用来读取调用Mapper接口时传递给方法的形参值,形参可以是基本类型、引用类型(对象),不管是读取基本类型还是对象中的属性,都可以用或直接获取到。
Mybatis#$区别
热门推荐
伏颜的博客
07-11 2万+
Mybatis#$区别
mybatis#$区别
aaaaAyy12的博客
09-04 1万+
mybatis#$区别是什么 在mybatis#KaTeX parse error: Expected 'EOF', got '#' at position 8: 的主要区别是:#̲传入的参数在SQL中显示为字符…传入的参数在SqL中直接显示为传入的值,$方式无法防止Sql注入。 MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置
sql注入、Mybatis中的#{参数}${参数}
qq_45859087的博客
08-08 1029
sql注入、Mybatis中的#{参数}${参数}sql注入概述:mybatis中的#{参数} ${参数}sql注入解决方案#{参数}${参数}总结 sql注入概述: 针对SQL注入的攻击行为可描述为:在与用户交互的程序中(如web网页),非法用户通过可控参数注入SQL语法,将恶意sql语句输入拼接到原本设计好的SQL语句中,破坏原有SQL语法结构,执行了与原定计划不同的行为,达到程序编写时意料之外结果的攻击行为,其本质就是使用了字符串拼接方式构造sql语句,并且对于用户输入检查不充分,导致SQL
关于MyBatis参数传入#{index}的问题的解决方案【源码】
05-22
在源码层面,MyBatis在解析XML映射文件时,会遍历所有的#{index}并查找对应参数。如果使用了@Param或Map,MyBatis可以通过注解或键值对找到参数值。当使用#{index}时,如果没有提供键值对,MyBatis将无法匹配到...
MyBatis${} #{}的正确使用方法(千万不要乱用)
08-18
MyBatis框架中,${} #{} 是两种不同的参数占位符,它们的使用方式作用有明显的区别,对于SQL语句的安全性效率有着重要影响。 1. #{} #{} 是预编译处理的方式,也被称为参数绑定或者预处理。在处理 #{ } ...
Mybatis中设置全局变量的方法示例
08-30
我们在平时的工作中有时候是需要在配置文件中配置全局变量的,我最近工作中就遇到了,所以索性记录下来,下面这篇文章主要跟大家介绍了关于Mybatis中设置全局变量的方法示例,需要的朋友可以参考下。
MyBatis参数${}还是#{}
larry_lv的专栏
12-02 692
在xml中的字符串替换,常用的是#{},但是也有人用${}。 最简单的理解是#{}解析的字符串是带双引号的,而${}是不带双引号的。然而差异并不仅如此 一般来说,在你的代码里面不变的字符串,不需要MyBatis去转义修改的话,可以这样用:ORDER BY ${columnName},即你的这个columnName不管怎么着都是你的程序中写的固定的字符串(并不是真的是一个字符串,有可能不同
Mybatis xml中$#的差别
g4object的博客
07-17 481
首先$#区别: 都是往sql语句里面进行动态传值,但是$是单纯的字符串替换,而#是进行JDBC的预编译语句会在sql语句之中生成一个占位符。具体在sql中的效果就是:例如传入1   $  就是单纯的 1  但是#实际生成的就是‘1’  感觉$#就很像JDBC中的StatementpreStatement一样  #可以有效的作用于防止sql注入              多数情况下我们都...
MyBatis笔记 | 详解参数处理(多种类型的参数处理、源码分析、读取参数的两种格式的区别)...
小白菜的博客
11-28 581
目录 一、MyBatis参数处理 1、单个参数 2、多个参数 3、命名参数 4、参数处理 (1)传入POJO (2)传入Map (3)传入List 二、从源码来看参数处理的过程(即如何封装Map) 1、 确定names的值 2、封装Map 四、参数处理中#{}与${}的区别 五、#{}取值时指定参数的相关规则 一、MyBatis参数处理 从参数的个数来看,可分为单...
MyBatis-@param注解详解
xuonline4196的博客
03-03 2万+
@param参数注解 一、@Param注解单一属性 dao层示例 Public User selectUser(@param(“userName”) String name,@param(“userpassword”) String password); xml映射对应示例 &amp;amp;amp;amp;amp;amp;amp;lt;select id=&amp;amp;amp;amp;amp;amp;quot; selectUser&amp;amp;amp;amp;amp;a
【详解】@Param注解的用法
m0_67402235的博客
07-28 1万+
首先明确这个注解是为SQL语句中参数赋值而服务的。@Param的作用就是给参数命名,比如在mapper里面某方法A(intid),当添加注解后A(@Param(“userId”)intid),也就是说外部想要取出传入的id值,只需要取它的参数名userId就可以了。将参数值传如SQL语句中,通过#{userId}进行取值给SQL的参数赋值。...
Mybatis动态sql中@Param使用详解
以终为始
12-30 2674
文章目录Mybatis中的@param注解的使用场景:问题1:动态sql中参数是非自定义pojo类型不使用@param注解会怎么样?问题2:动态sql中参数是非自定义pojo类型使用@param注解有什么作用,为什么就解决了报错 Mybatis中的@param注解的使用场景: 1、方法有多个参数 2、方法参数要取别名 3、XML 中的 SQL 使用了 $ 4、动态sql中参数是非自定义pojo类型 当方法的参数为非自定义pojo类型,且使用了动态sql,需要在参数前加上@Param注解。 问题1:动态sq
Mybatis:mapper接口中的@Param注解的用法总结
m0_59960942的博客
03-01 6313
@Param注解的用法总结(全网巨详细)
mybatis#$区别
最新发布
12-30
### MyBatis 中 `#` `$` 符号的区别 #### 占位符功能差异 在 MyBatis 中,`#{}` `${}` 都可以作为占位符来插入参数到 SQL 语句中。然而两者的工作机制存在显著不同。 当使用 `#{}` 形式的占位符时,MyBatis 将其视为预处理语句 (PreparedStatement) 的参数绑定方式[^1]。这意味着实际的 SQL 发送到数据库之前会先由 JDBC 进行一次转义处理,从而有效防止 SQL 注入攻击的发生。 而采用 `${}` 方式,则是直接替换模板中的变量名为其对应的值字符串,并不做任何额外的安全检查或转换操作[^2]。因此,在某些特殊情况下可能会引入潜在风险。 #### 使用场景对比 由于上述特性上的差别,这两种语法适用于不同的编程环境: - 对于大多数常规查询条件构建而言,推荐优先选用 `#{}` 结构以增强应用程序的整体安全性; - 当遇到一些无法通过标准 API 实现的需求——比如表名、列名动态指定等情况时,则可能不得不借助 `${}` 完成相应逻辑编码工作;不过此时应当格外谨慎对待输入验证环节[^3]。 #### 示例代码展示 下面给出一段简单的例子说明如何分别运用这两种表达形式编写 Mapper XML 文件内的 SELECT 语句: ```xml <!-- 正确做法 --> <select id="findUserById" parameterType="int" resultType="com.example.User"> SELECT * FROM users WHERE user_id = #{userId} </select> <!-- 错误示范:容易遭受注入威胁 --> <select id="findByTableName" parameterType="string" resultType="map"> SELECT * FROM ${tableName} <!-- 不建议这样写 --> </select> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值