mybatis 中#与$的区别

最新推荐文章于 2025-10-29 11:12:05 发布
原创 最新推荐文章于 2025-10-29 11:12:05 发布 · 903 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了MyBatis中#与$两种占位符的区别。#将传入的数据视为字符串并自动添加双引号,有助于防止SQL注入;而$则直接将数据插入到SQL语句中,适用于传入数据库对象如表名等场景。通常推荐使用#以保障安全性。

最近研究myibatis   看到#和$ 有的地方是#有的地方是$ 特地研究了一下这两个字符的区别

 

1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #username#,如果传入的值是9999,那么解析成sql时的值为order by "9999", 如果传入的值是name,则解析成的sql为order by "name".

 

2. $将传入的数据直接显示生成在sql中。如:order by $username$,如果传入的值是111,那么解析成sql时的值为order by username,  如果传入的值是name,则解析成的sql为order by name.

 

3. #方式能够最大程度防止sql注入。

 

4.$方式无法防止Sql注入。

 

5.$方式一般用于传入数据库对象,例如传入表名. 

 

6.一般能用#的就别用$. 

 

PS:在使用mybatis中还遇到<![CDATA[]]>的用法,在该符号内的语句,将不会被当成字符串来处理,而是直接当成sql语句,比如要执行一个存储过程。

这个小于号经常被解析错误<   这个和XML文件冲突. 需要包起来

mybatis - 取值符# $区别
pig_ning的博客
04-25 1199
mybatis - 取值符# $区别
【编程基础知识】Mybatis#$两种参数替换符合有啥区别
Dylaniou的博客
09-09 397
Mybatis#$两种参数替换符合有啥区别
mybatisl中#$区别
weixin_34148340的博客
10-22 170
2019独角兽企业重金招聘Python工程师标准>>> ...
Mybatis# $区别
最新发布
m0_64630668的博客
10-29 491
特性#{}${}处理方式预编译,替换为?占位符直接字符串替换,拼接 SQL安全性防 SQL 注入(安全)存在 SQL 注入风险(不安全)参数类型自动加引(字符串类型)需手动加引(字符串类型)适用场景大多数参数传递(用户输入)动态 SQL 结构(表名、排序字段等)最佳实践:优先使用#{},仅在必须动态拼接 SQL 结构时使用${},且务必对${}的参数进行严格校验(如白名单限制)。
Mybatis#$区别
伏颜的博客
07-11 2万+
Mybatis#$区别
Mybatis #{ } ${ } 区别
weixin_30558305的博客
09-22 174
动态 SQL 是 Mybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。Mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } ${ } 会有不同的表现: select * from user where name = #{name}...
Mybatis$#区别
u012102536的博客
08-29 1165
1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'.  2 $是将传入的数据直接显示生成sql语句,eg:select id,name,age from studen
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$区别 在...
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
MyBatis#$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 2017
#{}${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
浅谈mybatis中的#$区别
09-02
MyBatis中,`#``$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译防止SQL注入的能力。理解这两种符的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
mybatis mapper.xml文件中$#的使用区别
xingxinghann的博客
11-14 6889
#{}表示一个占位符即?,可以有效防止sql注入。在使用时不需要关心参数值的类型,mybatis会自动进行java类型jdbc类型的转换。 #{}可以接收简单类型值或pojo属性值,如果传入简单类型值,#{}括中可以是任意名称。<!-- 根据名称模糊查询用户信息 --> <select id="findUserById" parameterType="String" resultTyp
ibatis 中 $#区别
kingRong的专栏
08-01 144
[size=small]在sql配置中比如in(#rewr#) in ($rewr$) 在Ibatis中我们使用SqlMap进行Sql查询时需要引用参数,在参数引用中遇到的符#$之间的区分为,#可以进行编译,进行类型匹配,而$不进行数据类型匹配,例如: select * from table where id = #id# ,其中如果字段id为字符型,那么#id#表示的就是'...
mybatis $ # 区别
程序员写的技术 FAQ 和杂文
08-16 4268
# 字符串处理,加单引      可一定程度的防注入。 $ 直接引用不做处理,比如数字 如果SQL 中的数字字段也用 # 的话。SQL 执行时就需要转义,多了一些无用的性能损耗。 参考: http://www.cnblogs.com/hellokitty1/p/6007801.html http://blog.sina.com.cn/s/blog_5c5bc90701
mybatis#$区别
灰太狼
03-22 2万+
mybatis接口mapper文件中引用传入的参数是通过#{param}或者${param}来使用的。1.数据类型匹配#:会进行预编译,而且进行类型匹配$:不进行数据类型匹配2.实现方式 #:用于变量替换$:实质上是字符串拼接3.#$的使用场景(1)变量的传递,必须使用#,使用#{}就等于使用了PrepareStatement这种占位符的形式,提高效率。可以防止sql注入等等问题。#方式一般用...
MyBatis#$区别
qq_31459039的博客
03-22 398
MyBatis/Ibatis中#$区别 1、#{ }是预编译处理,MyBatis在处理#{ }时,它会将sql中的#{ }替换为?,然后调用PreparedStatement的set方法来赋值, #{id,jdbcType=BIGINT} 可以指定类型转换 将传入的数据都都当成一个字符串 替换结果会增加单引‘’ 2、${ }是字符串替换, MyBatis在处理${ }时,它会将sql...
myBatis中的#$区别
耀的专栏
03-05 1127
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置映射原生信息,将接口 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。 动态sql 是mybatis 的主要特性之一,在mybatis中我们可以把参数传到xml文件,由mybatis对sql及其语法进行解析,m...
mybatis中的#$区别
热门推荐
kobi521的专栏
11-25 11万+
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的
mybatis#$区别
12-30
### MyBatis 中 `#` `$` 符区别 #### 占位符功能差异 在 MyBatis 中,`#{}` `${}` 都可以作为占位符来插入参数到 SQL 语句中。然而两者的工作机制存在显著不同。 当使用 `#{}` 形式的占位符时,MyBatis 将其视为预处理语句 (PreparedStatement) 的参数绑定方式[^1]。这意味着实际的 SQL 发送到数据库之前会先由 JDBC 进行一次转义处理,从而有效防止 SQL 注入攻击的发生。 而采用 `${}` 方式,则是直接替换模板中的变量名为其对应的值字符串,并不做任何额外的安全检查或转换操作[^2]。因此,在某些特殊情况下可能会引入潜在风险。 #### 使用场景对比 由于上述特性上的差别,这两种语法适用于不同的编程环境: - 对于大多数常规查询条件构建而言,推荐优先选用 `#{}` 结构以增强应用程序的整体安全性; - 当遇到一些无法通过标准 API 实现的需求——比如表名、列名动态指定等情况时,则可能不得不借助 `${}` 完成相应逻辑编码工作;不过此时应当格外谨慎对待输入验证环节[^3]。 #### 示例代码展示 下面给出一段简单的例子说明如何分别运用这两种表达形式编写 Mapper XML 文件内的 SELECT 语句: ```xml <!-- 正确做法 --> <select id="findUserById" parameterType="int" resultType="com.example.User"> SELECT * FROM users WHERE user_id = #{userId} </select> <!-- 错误示范:容易遭受注入威胁 --> <select id="findByTableName" parameterType="string" resultType="map"> SELECT * FROM ${tableName} <!-- 不建议这样写 --> </select> ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值