mybatis ${ } 内部如果有 #{} 变量占位,是可以正常解析的变量的

最新推荐文章于 2024-04-07 16:09:42 发布
最新推荐文章于 2024-04-07 16:09:42 发布
阅读量171 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: java 文章标签: java 反射 限流
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/connection_/article/details/123089582
本文介绍了Apache MyBatis中DynamicSqlSource类的实现,涉及SQL解析和参数绑定过程。重点讲解了如何使用SqlNode解析动态SQL,并通过SqlSourceBuilder将参数占位符转换为实际值。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

package org.apache.ibatis.scripting.xmltags;
import org.apache.ibatis.builder.SqlSourceBuilder;
import org.apache.ibatis.mapping.BoundSql;
import org.apache.ibatis.mapping.SqlSource;
import org.apache.ibatis.session.Configuration;
public class DynamicSqlSource implements SqlSource {

private final Configuration configuration;
private final SqlNode rootSqlNode;

public DynamicSqlSource(Configuration configuration, SqlNode rootSqlNode) {
this.configuration = configuration;
this.rootSqlNode = rootSqlNode;
}

@Override
public BoundSql getBoundSql(Object parameterObject) {
DynamicContext context = new DynamicContext(configuration, parameterObject);
1、//先做sql解析
rootSqlNode.apply(context);
SqlSourceBuilder sqlSourceParser = new SqlSourceBuilder(configuration);
Class<?> parameterType = parameterObject == null ? Object.class : parameterObject.getClass();
2、 //在做参数绑定
SqlSource sqlSource = sqlSourceParser.parse(context.getSql(), parameterType, context.getBindings());
BoundSql boundSql = sqlSource.getBoundSql(parameterObject);
context.getBindings().forEach(boundSql::setAdditionalParameter);
return boundSql;
}
}

1、sql解析,具体可以用如下的解析器
在这里插入图片描述
其中$在TextSqlNode 进行解析。

2、解析完毕后由后续的SqlSourceBuilder sqlSourceParser = new SqlSourceBuilder(configuration);
进行参数映射
SqlSource sqlSource = sqlSourceParser.parse(context.getSql(), parameterType, context.getBindings());

替换参数占位符#{} -> ?. 并且收集参数。

故: ${ } 内部如果有 #{} 变量占位,是可以正常解析的。

深入理解MyBatis中的#{ }和${ }占位符及参数传递过程
IT小辉同学
01-18 1660
MyBatis是一个广泛使用的持久层框架,它以其强大的数据库访问能力和灵活的SQL映射配置而著称。在MyBatis中,#{ } 和 ${ } 是两种常用的占位符,用于构建动态的SQL语句。本文将深入研究这两种占位符的用法、区别,并详细探讨参数在MyBatis中的传递和接受过程。通过本文的介绍,希望能够更深入地理解这两种占位符在MyBatis中的应用和差异,并在实际项目中选择合适的占位符来构建动态SQL语句。占位符,特别是涉及用户输入的地方,以确保SQL的安全性。方法的参数中获取的。在实际项目中,推荐使用。
Mybatis中的${}和#{}区别
sebeefe的博客
06-08 243
动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前, mybatis 会对其进行动态解析mybatis 为我们提供了两种支持动态 sql 的语法:#{}以及${}提示:以下是本篇文章正文内容,下面案例可供参考(1)#{}:参数占位符,即预编译 (2)${} :字符串替换符,即SQL拼接(1)#{}:很大程度上能防止sql 注入 (2)${}:不能防止sql 注入DBMS:数据库管理系统(Database Management System)是一
Mybatis参数解析分析
daliucheng的博客
09-14 407
分析了Mybatis@param是怎么解析的,Mybatis又给我们增加了那些可用的参数,从源码分析,快来看看吧
Mybatis$#的区别
疏影横斜水清浅
06-09 135
Mybatis$#的区别主要详见TextSqlNode类(org.apache.ibatis.scripting.xmltags.TextSqlNode,文本节点解析类) #{} 详见SqlSourceBuilder类(org.apache.ibatis.builder.SqlSourceBuilder,从RawSqlSource和DynamicSqlSource中调用。将变量替换成?并记录参数信息) 参数设置是在DefaultParameterHandler.setParameters方法中处理的,
mybatis:org.apache.ibatis.builder.BuilderException配置文件报错
weixin_44903881的博客
08-26 2485
mybatis:org.apache.ibatis.builder.BuilderException配置文件报错
【bug日记2020-10-9】Error building SqlSession -- sql语句bug
建筑队学徒的博客
10-10 597
【bug日记2020-10-9】Error building SqlSession – sql语句bug The error may exist in mapper/GoodsMapper.xml Cause: org.apache.ibatis.builder.BuilderException: Error parsing SQL Mapper Configuration. Cause: org.apache.ibatis.builder.BuilderException: Error parsing
mybatis-plus因xml有空格导致报错解决
2401_83139074的博客
04-07 648
主要是在sql哪里调用 SqlSourceBuilder.removeExtraWhitespaces(boundSql.getSql());在这个包下就可以看到相关的sql是有换行符的(这个sql解析在那暂时没调出来)写一个mybatis plus的拦截器。源码: 当时找错误核心部分。
Mybatis下动态sql中##$$的区别讲解
08-26
在动态SQL解析阶段,#{ }和${ }会有不同的表现。#{ }:解析为一个JDBC预编译语句(prepared statement)的参数标记符。例如,Mapper.xml中如下的SQL语句: select * from user where name = #{name}; 动态解析为:...
MyBatis${}和 #{}的正确使用方法(千万不要乱用)
08-18
MyBatis框架中,${} 和 #{} 是两种不同的参数占位符,它们的使用方式和作用有明显的区别,对于SQL语句的安全性和效率有着重要影响。 1. #{} #{} 是预编译处理的方式,也被称为参数绑定或者预处理。在处理 #{ } ...
MyBatis中使用$#所遇到的问题及解决办法
09-01
- #{ }:这是MyBatis中的预编译参数标记,它会将参数转化为PreparedStatement的参数占位符,类似于Java中的`?`。当MyBatis遇到`#{ }`时,它会将参数值转化为PreparedStatement的参数,这样可以防止SQL注入。例如,...
org.apache.ibatis.builder.BuilderException: Error parsing Mapper XML. 的问题解决方法
即将毕业的大学生
03-27 3300
org.apache.ibatis.builder.BuilderException: Error parsing Mapper XML. The XML location is 'cn/wolfcode/rbac/mapper/DepartmentMapper.xml'. Cause: java.lang.IllegalArgumentException: Result Maps collection already contains value for cn.wolfcode.rbac.mapper.D
Mybatis动态解析XML字符串
qq_33873013的博客
08-21 1599
1. 下面的工具类是传入 一个 类似于mybatisXML 写法的 sql 字符串和对应的参数 ,获得一个 解析好的最终sql 。 工具类如下: package com.nmy.test.groovy.util; import lombok.SneakyThrows; import org.apache.commons.lang3.StringUtils; import org.apache.ibatis.mapping.*; import org.apache.ibatis.parsing.XNo
Mybatis源码分析(一)
srs1995的博客
11-26 279
准备 在阅读源码前,需要先clone源码 地址:https://github.com/mybatis/mybatis-3 Mybatis框架使用大量常见的设计模式,学习Mybatis源码我们主要学习以下几点: 学习大佬们的编码思想及规范 学习一些传承下来的设计模式 实践java基础理论 带着问题阅读源码 问题1:源码中用了哪些设计模式?为什么要用这些设计模式? 问题2.Mybatis打开调试模式之后,能打印sql语句等信息,这是怎么实现的?实现过程中使用了什么设计模式?假如有多个日志实现,加
Cause:org.apache.ibatis.builder.BuilderException
Mmj1105497961的博客
01-15 7438
今天用之前学习的mybatis改造使用jdbc连接的用户管理系统时出现了这个问题 后来发现是因为直接复制的配置文件中有调用到的实体类和接口在这里是没有的  就算在特地去调用 但是在XML文件配置的时候 还是会重上往下一个一个的读取,不能跳过。 删除掉多余的语句就可以运行成功
mybatis源码学习------动态sql的解析(SqlSource)
我是兴锅的博客
11-10 2231
SqlSource SqlSource为SQL 来源接口。它代表从 Mapper XML 或方法注解上,读取的一条 SQL 内容。 SqlSource接口 SqlSource接口的定义如下: public interface SqlSource { //根据传入的实际参数,返回一个BoundSql对象 BoundSql getBoundSql(Object parameterObject); } SqlSource有多个实现类,类图如下: 实现类的区别 DynamicSqlSource 表示
Mybatis源码的理解一之:解读动态sql
m0_60524086的博客
04-01 1586
我们的项目中通常写很多sql,而这种屡见不鲜的占位符却有很多人不知道它底层的实现,最近和一个朋友聊到这事,一时兴起,所以就撸了一会源码,希望借助我的理解,助你也搞清楚这块的知识! 废话不多说,直接上测试用例: 很简单的一串代码,但是内部逻辑是有点复杂 @Test public void testMybatis(){ final Map<String,String> mapper = new HashMap<String, String>(); ..
Mybatis中使用${}和使用#{}
m0_67402564的博客
03-22 1095
Mybatis${}和#{}的区别 1、使用#{} 2、使用${} 3、总结 印象中一直认为使用Mybatis肯定能防止sql注入,前两天才发现我太天真了。防止sql注入也是有条件的,这我们就要了解下Mybatis${}和#{}的使用了。 1、使用#{} Mybatis在对#{}进行预处理时,会把#{}处理成占位符,实际执行的时候才会把参数替换进去,相当于jdbc的PreparedStatement。 <select id="select" parameterType="jav
mybatis变量中嵌套变量 #{List[${index}]}
qq_32816991的博客
08-20 1855
<foreach item="item" collection="List" separator="" open="" close="" index="index"> sum(case when t.fail_info like #{codeList[${index}]} then 1 else 0 end) cnt_${item} </foreach>
java解析{{}}变量名以及文本内容替换
跟着互联网
03-16 4281
发短信、发邮件的时候经常会遇到模板内容需要替换成实际数据的问题,本文介绍从文本模板中解析变量列表,以及参数填入后得到实际文本内容的办法: /** * 根据正则表达式获取文本中的变量名列表 * @param pattern * @param content * @return */ public static List<String> getParams(String p...
mybatis $ # 区别
最新发布
03-14
### MyBatis 中 `$` 和 `#` 的区别 在 MyBatis 中,`${}` 和 `${}` 是两种占位符语法,用于处理 SQL 动态拼接中的变量替换。以下是它们的区别: #### 1. **基本概念** - **`#{}`**: 这是一个预编译的占位符,在执行 SQL 前会被替换成一个 JDBC 参数占位符 (`?`) 并传递给数据库驱动程序进行安全绑定[^1]。 - **`${}`**: 这是一种字符串替换机制,直接将表达式的值插入到 SQL 字符串中,不会经过任何转义或安全性检查。 #### 2. **安全性对比** - 使用 `#{}` 可有效防止 SQL 注入攻击,因为它的值被当作参数而不是原始 SQL 部分来解析和执行。 - 而 `${}` 则会直接将变量值嵌入到 SQL 中,如果输入未经过滤,则可能导致严重的 SQL 注入风险[^3]。 #### 3. **适用场景** - 当需要构建动态表名、列名或者某些固定的 SQL 片段时,可以使用 `${}`,因为它允许更灵活的字符串操作。 - 对于大多数情况下涉及用户数据的操作(如条件过滤),推荐使用 `#{}` 来提高代码的安全性和可维护性[^4]。 #### 示例代码 下面展示了两者使用的具体例子: ```xml <!-- 使用 #{param} --> <select id="selectUsers" resultType="User"> SELECT * FROM users WHERE status = #{status} </select> <!-- 使用 ${param}, 注意这里假设 tableName 已经验证过 --> <select id="selectByTableName" resultType="map"> SELECT * FROM ${tableName} </select> ``` 上述第一个示例利用了 `#{status}` 安全地传参;第二个则通过 `${tableName}` 实现了动态表切换功能[^5]。 ### 总结 总之,在实际开发过程中应优先考虑采用 `#{}` 方式以保障应用程序免受恶意注入威胁的同时还能获得更好的性能表现。只有当确实存在特殊需求无法单纯依靠问号占位完成任务的时候才谨慎选用 `${}` 方法来进行相应处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值