mybatis拼接符和占位符的区别

最新推荐文章于 2025-06-13 13:22:16 发布
最新推荐文章于 2025-06-13 13:22:16 发布
阅读量1.7k 收藏 8
点赞数 2
分类专栏: mybatis
没有检索到摘要

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

占位符:

1.#{}占位符可以用来设置参数,如果传进来的是基本类型,也就是(string,long,double,int,boolean,float等),那么#{}里面的变量名可以随意写,什么abc,xxx等等,这个名字和传进来的参数名可以不一致。

2.如果传进来的是pojo类型,那么#{}中的变量名必须是pojo的属性名,可以写成属性名,也可以写属性名.属性名。

拼接符:

3.注意:#{}占位符不能解决三类问题

动态表名不可以用#{} :Select * from #{table} 

动态列名不可以用#{} : select #{column} from table 

动态排序列不可以用#{} : select * from table order by #{column}

2.${}拼接符

1.如果传进来的是基本类型,也就是(string,long,double,int,boolean,float等),那么#{}里面的变量名必须写value。

<delete id="deleteStudentById" >

    delete from student where id=${value}

</delete>

2.如果传进来的是pojo类型,那么#{}中的变量名必须是pojo的属性名,可以写成属性名,也可以写属性名.属性名。但是由于是拼接的方式,对于字符串我们需要自己加引号

<insert id="insertStudent" parameterType="Student">

    insert into student(name,age,score) values('${name}',${age},${score})

</insert>

与上面一样,不能将类名写进来:

<!--这是错误的-->

<insert id="insertStudent" parameterType="Student">

    insert into student(name,age,score) values('${Student.name}',${Student.age},${Student.score})

</insert>

3.${}占位符是字符串连接符,可以用来动态设置表名,列名,排序名

动态表名 :Select * from table动态列名:selecttable动态列名:select{column} from table 

动态排序 : select * from table order by column4.column4.{}可以作为连接符使用,但是这样的方式是不安全的,很容易发生sql注入问题,sql注入问题可以参考https://blog.youkuaiyun.com/aphysia/article/details/80465600:

<select id="selectStudentsByName" resultType="Student">

    select id,name,age,score from student where name like '%${value}%'

</select>

3.#{}与${}区别

能使用#{}的时候尽量使用#{},不使用${}

#{}相当于jdbc中的preparedstatement(预编译),${}是直接使用里面的值进行拼接,如果解释预编译和直接拼接,我想可以这么理解预编译:比如将一个#{name}传进来,预编译是先将sql语句编译成为模板,也就是我知道你要干什么,假设这个sql是要查询名字为xxx的学生信息,那无论这个xxx里面是什么信息,我都只会去根据名字这一列查询,里面无论写的是什么,都只会当做一个字符串,这个类型在预编译的时候已经定义好了。

${}就不一样,是将语句拼接之后才确定查询条件/类型的,那么就会有被注入的可能性,有些人故意将名字设置为删除条件,这时候sql就变成删除操作了。

所以我们一般类似模糊查询都是用#{}拼接

<select id="selectStudentsByName" resultType="Student">

    select id,name,age,score from student where name like '%' #{name} '%'

</select>

但是对于order by 我们是用不了#{}的,因为用了这个就会被自动转换成字符串,自动加引号,这样语句就不生效了。

<select id="selectStudentsByName" resultType="Student">

    select id,name,age,score from student order by #{column}

</select>

<!--编译出来的结果如下:-->

select * from table order by 'column'

那我们需要怎么处理呢?我们只能使用${},MyBatis不会修改或转义字符串。这样是不安全的,会导致潜在的SQL注入攻击,我们需要自己限制,不允许用户输入这些字段,或者通常自行转义并检查。所以这必须过滤输入的内容。

Mybatis日志参数快速替换占位符工具
weixin_43030522的博客
08-04 1864
Mybatis执行的sql的打印格式为: Mybatis log printf工具网页地址: http://www.feedme.ltd/log.html 2020-08-04 09:16:44 -DEBUG - [io-8888-exec-5] .mapper.operation.OperationMapper.insert. debug 145 : ==> Preparing: INSERT INTO tulu.t_log_operation (id, module, modul
springboot+mybatis或者mybatisplus打印不带占位符的sql
w254826019的博客
11-17 1466
springboot+mybatis或者mybatisplus打印不带占位符的sql
占位符拼接符区别——2017.08.16
weixin_30709809的博客
08-16 299
  占位符:先占住一个固定的位置,等着你往里面添加内部的符号。在MyBatis中:"#{ }"表示占位符,1 对于基本类型类型变量,#{ }中变量名称可以随意填写 2 如果传入的是POJO类型变量,传入的必须是POJO对象的属性 拼接符:${ }字符串原样拼接,1 如果传入的是基本类型变量,${ }中必须填入value值 2 如果传入的是POJO类...
mybatis的#{}占位符${}拼接符区别
qq_32534441的博客
01-25 728
mybatis做为一个轻量级ORM框架在许多项目中使用,因其简单的入门受到了广大开发者的热爱。 #{}占位符:占位 使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句中如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且在使用#{}时形成的sql语句,已经带有引号,例,select * from table1 where ...
mybatis使用pgvector
最新发布
2501_91537388的博客
06-13 186
mybatis使用pgvector
mybatis中的#占位符$拼接符区别
qq_45603855的博客
08-10 933
mybatis中的#占位符$拼接符区别一、sql注入1、什么是sql注入2、sql注入示例二、#占位符$拼接符区别三、mybatis如何防止sql注入四、总结   为更好地解释mybatis中的#占位符$拼接符区别,这里对sql注入做一个简单说明。 一、sql注入 1、什么是sql注入   SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 2、sql注入示例   首先定义一个sql字符串,来
MyBatis#{}占位符${}拼接符区别
泗水六年的博客
07-24 145
传入的参数在SQL中显示为字符串,#方式能够很大程度防止sql注入;$传入的参数在SqL中直接显示为传入的值,$方式无法防止Sql注入。
2mybatis(占位符拼接符区别)
xiaoxiaoniaoQ的博客
10-11 944
6.2.3. 占位符拼接符区别 1.  类型处理: 占位符#{}传递参数时会做参数类型处理, 拼接符${}传递参数时不会做类型处理只进行字符串原样拼接 2.  安全性: ${}的原样拼接导致它存在安全漏洞,容易产生SQL注入风险 #{}的类型处理会对参数中存在的SQL敏感字符先转义然后再映射给SQL,这就不会影响原先的SQL,因此可以有效防止SQL注入。 3.  工作中的应用: ...
浅谈Mybatis #$区别以及原理
08-18
Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$的区别Mybatis中,#$都是占位符,但是它们...
MyBatis占位符与 动态SQL
m0_63600788的博客
08-20 810
​若需要作为 ORDER BY 或 GROUP BY 子句获取参数值使用 $;若需要作为其它子句获取参数值使用 #。MyBatis 的强大特性之一便是它的动态 SQL。如果你有使用 JDBC 或其它类似框架的经验,你就能体会到根据不同条件拼接 SQL 语句的痛苦。例如拼接时要确保不能忘记添加必要的空格,还要注意去掉列表最后一个列名的逗号。利用动态 SQL 这一特性可以彻底摆脱这种痛苦。
MyBatis复习(四):#{}占位符与SQL传参
想好了就去做吧 即便失败了 至少这条路上留下了你的脚印
05-17 533
MyBatis处理#{},是通过PreparedStatement的set方法来赋值(Stirng类型参数在解析时会自动加上双引号,其它数据类型则不加双引号),可以有效的防止SQL注入,提高系统安全性
Mybatis占位符拼接符区别与使用场景
shadow_zed的博客
05-01 1078
SQL注入、占位符拼接符
喜欢猪猪
06-03 3167
目录 一、什么是SQL注入 二、Mybatis中的占位符拼接符 三、为什么PreparedStatement 有效的防止sql注入? 一、什么是SQL注入 官方: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQ..
【MybBatis细节篇】MyBatis中#{}${}的区别
输入技术、输出想法
12-02 5069
MyBatis中#{}${}的区别#{} ${} 的区别#{} ${} 的实例:假设传入参数为 1#{} ${} 的大括号中的值单个参数的情形#{}${}多个参数的情形#{}${}#{} ${} 在使用中的技巧建议 在MyBatis 的映射配置文件中,动态传递参数有两种方式: 1、#{} 占位符 2、${} 拼接符 #{} ${} 的区别 区别1 #{} 为参数占位符 ?,即sql 预编译 ${} 为字符串替换,即 sql 拼接 区别2、 #{}:动态解析 -> 预编译
#占位符$拼接符
weixin_44120790的博客
09-03 352
区别: #{ } 解析为一个 预编译语句(prepared statement)的参数占位符 ?作为参数不作为指令去执行,能防止sql注入; ${ } 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换,不能防止sql注入 sql 预编译:是数据库驱动在发送 sql 语句参数给 DBMS 数据库管理系统之前对 sql 语句进行编译,这样 DBMS 执行 sql 时,就不需要重新编译。 动态解析:mybatis 在调用 connection 进行 sql 预编译之前,会对s
MyBatis中#{}占位符与${}拼接符的使用
pan_junbiao的博客
12-02 7986
1、关于#{}占位符 先来看以下的示例,该示例是MyBatis中的SQL映射配置文件(Mapper配置文件),在该配置中使用了#{}占位符。 <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" ...
数组占位符_日志输出都有歧义!字符拼接 VS 占位符,到底该采用哪种方式?
weixin_36115496的博客
01-15 471
前言说来也巧,这几天正在看一本书,叫做《Java系统性能优化实战》,李家智著的,在代码审查这章中提到了一个关于日志输出问题,先看一下我们原本是怎么输出信息的,如下。privatestaticLoggerlogger=LoggerFactory.getLogger(FileManageApplication.class);publicstaticvoidmain(Str...
VUE学习记录
qq_44174803的博客
12-01 1875
前言: 这篇内容主要当作自己的学习VUE的学习笔记进行记录,从小白开始入门,不断摸索VUE的核心知识点,该笔记将会长期更新 简单的VUE程序基础VUE语法 由于VUE的几个V指令语法较为简单,因此将其放在一起记录 ...
8、mybatis占位符#$
12-27
### MyBatis 中 `#` `$` 占位符区别 #### 1. 工作原理差异 在 MyBatis 中,`#` `$` 都是用来在 SQL 语句中插入参数的占位符,但两者的工作原理不同。 对于 `#` 占位符而言,它会将传入的数据都当成字符串来处理,并自动加上单引号。这种方式可以有效防止 SQL 注入攻击[^1]。例如: ```sql SELECT * FROM users WHERE id = #{userId} ``` 而 `$` 占位符则不会对数据做任何特殊处理,而是直接将其作为原生字符串拼接到 SQL 语句中。这意味着如果输入未经严格校验,则可能存在安全风险[^3]。比如: ```sql SELECT * FROM users WHERE username LIKE '%${username}%' ``` #### 2. 应用场景对比 由于上述特性上的差别,这两种占位符适用于不同的场合。 当需要确保安全性并希望让 JDBC 自动处理类型转换时,应该优先考虑使用 `#` 占位符。这通常是在构建查询条件、更新操作等情况下非常适用的选择[^2]。 相反,若确实有必要动态地改变表名或列名等情况(尽管这种情况较为少见),那么此时可以选择使用 `$` 来实现更灵活的功能需求[^4]。不过需要注意的是,在这种情形下务必谨慎对待用户输入的内容,以免引发潜在的安全隐患。 #### 3. 实际应用案例展示 下面通过具体的例子进一步说明两者的区别及其应用场景: ##### 使用 `#` 的情况 假设有一个简单的查询请求,目的是获取指定 ID 的用户信息: ```xml <select id="getUserById" parameterType="int" resultType="User"> SELECT * FROM users WHERE id = #{id}; </select> ``` 这里采用 `#` 方式传递参数,既简单又安全可靠。 ##### 使用 `$` 的情况 再来看另一个复杂一点的例子——分页查询功能实现: ```xml <select id="getUsersByPage" parameterType="map" resultType="User"> SELECT * FROM users LIMIT ${offset},${limit}; </select> ``` 在这个场景里选择了 `${}` 形式的变量替换是因为 MySQL 的 `LIMIT` 子句不允许使用预编译参数形式(`?`)来进行偏移量数量设置;因此只能借助于 `${}` 进行动态注入。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值