mybatis #和$

最新推荐文章于 2025-06-19 21:00:54 发布
最新推荐文章于 2025-06-19 21:00:54 发布
阅读量381 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/a2572371/article/details/78114575

     PrepareStatement:预编译支持参数化以及占位符,防止sql注入

     Statement:有sql注入风险 

正文

       #{} 的参数替换是发生在 DBMS 中,而 ${} 则发生在动态解析过程中。

例如:select * from order where id=#{orderId}和select * from order where id='${orderId}'.

#:静态解析-- select * from order where id=?.已占位符的形式。在预处理时,会把参数部分用一个占位符 。

 $:动态解析的,  select * from order where id=123456. 后果:比如参数 orderId='123456' or '1=1'.就可以把所有的订单数据都拿出来。

区别

#方式能够很大程度防止sql注入。
$方式无法防止Sql注入。
$方式一般用于传入数据库对象,例如传入表名、字段名(order by xxx)
一般能用#的就别用$.


为什么需要预编译

JDBC 中使用对象 PreparedStatement 来抽象预编译语句,使用预编译

  1. 预编译阶段可以优化 sql 的执行
    预编译之后的 sql 多数情况下可以直接执行,DBMS 不需要再次编译,越复杂的sql,编译的复杂度将越大,预编译阶段可以合并多次操作为一个操作。

  2. 预编译语句对象可以重复利用
    把一个 sql 预编译后产生的 PreparedStatement 对象缓存下来,下次对于同一个sql,可以直接使用这个缓存的 PreparedState 对象。

mybatis 默认情况下,将对所有的 sql 进行预编译。


【五斗米】Mybatis
m0_64210833的博客
08-28 1459
动态sql,主要用于解决查询条件不确定的情况:在程序运行期间,根据用户提交的查询条件实现动态拼接sql语句进行查询数据。 这里的条件判断使用的表达式为OGNL表达式,常用的动态sql标签有、、等 if标签:条件判断 where标签:判断包含节点有内容就插入 where,否则不插入 foreach标签:遍历元素............
MyBatis#$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 1912
#{}${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
mybatis
w1lgy的博客
09-08 419
一、什么是mybatis   MyBatis 是支持普通 SQL 查询,存储过程高级映射的优秀持久层框架。 MyBatis 消除了几乎所有的 JDBC 代码参数的手工设置以及对结果集的检索。 MyBatis 可以使用简单的XML 或注解用于配置原始映射,将接口 Java 的 POJO( Plain Old Java Objects,普通的Java 对象)映射成数据库中的记录。 二、开发...
Mybatis
最新发布
m0_64725370的博客
06-19 947
MyBatis是一款半自动化的持久层框架,主要用于简化Java程序与数据库的交互操作。文章介绍了MyBatis的基本概念、工作原理及核心功能,重点讲解了其在SpringBoot项目中的集成使用。内容包括数据库配置、Mapper接口编写、参数传递方式(单参数、多参数、实体类)、CRUD操作实现(注解XML两种方式),以及#{}与${}占位符的区别动态SQL的使用技巧。此外还详细阐述了结果集映射的三种解决方案SQL片段复用方法。通过本文可以全面掌握MyBatis的基础应用及其在数据库操作中的优势,包括SQ
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$的区别 在...
Mybatis#{}${}传参的区别及#$的区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Mybatis下动态sql中##$$的区别讲解
08-26
Mybatis下动态sql中##$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis中,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis中,使用...
mybatis - 取值符号:# $的区别
pig_ning的博客
04-25 1058
mybatis - 取值符号:# $的区别
Mybatis简介
m0_58259839的博客
07-19 960
根据MySQL5.5.45+、5.6.26+5.7.6+的要求,如果没有设置显式选项,默认必须建立SSL连接。MyBatis使用简单的XML或注解用于配置原始映射,将接口Java的POJOs(PlainOldJavaObjects,普通的Java对象)映射成数据库中的记录。MyBatis消除了几乎所有的JDBC代码参数的手工设置以及结果集的检索。4)、自动处理ResultSet,把记录集中的数据转为java对象,同时还能把java对象放入到List集合;...
mybatis # $
03-11
### 关于 MyBatis 的使用指南教程 #### MyBatis 基础介绍 MyBatis 是一款优秀的持久层框架,旨在简化 JDBC 开发工作。最初作为 Apache 的一个开源项目 iBatis 存在,在 2010 年迁移至 Google Code 上并更名为 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值