Mybatis中 # 和 $的区别

最新推荐文章于 2025-10-29 11:12:05 发布
原创 最新推荐文章于 2025-10-29 11:12:05 发布 · 139 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mybatis

本文详细解析了Mybatis中#与$符号在SQL语句处理上的不同,#{}

Mybatis中 # 和 $的区别

在Mybatis中。我们使用mapper引用变量时,都是默认使用#号,但是也可以使用$,那他们有什么区别呢?
我们需要先了解一下

sql语句的预编译和拼接的区别

String sql = "select * from user where id = " + id;
这里就是属于sql语句的拼接了,
什么叫做拼接呢?
就是我们输入的会自动拼接在后面
假设我们可以输入这样一句 id or 1 = 1
那么数据库会理解成以下这样:
select * from user where id = id or 1 = 1;
执行的时候,虽然 在数据库中找不到一个id 是id 的人,但是 1 =1 是恒成立的,所以数据库里的数据还是会被查询到,

但是如果我们用的是预编译方式
String sql = “select * from user where id = ?”
这里的问号相当于一个占位符,就像是一个参数,我们需要输入一个参数。
如果我们也输入 id or 1 =1
那么在预编译的情况下,会把这个当做一个整体,会去数据库中查询时候有一个id为 id or 1 = 1的人,显然是没有的,所以不会暴露出数据库中的数据。这也是就防sql注入攻击的原理。

显然 # 和 $ 也是一样的原理

#{}也相当与一个占位符,采用的是预编译的处理方式,
而${}采用的是字符串拼接的方式,这是一种不安全的行为,
所以我们在一般情况下都是用占位符方式,也就是#{}

MyBatis#{} ${} 的区别
liuyuinsdu的专栏
03-12 1484
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS中 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
MyBatis#$符号区别
weixin_41939500的博客
07-05 425
符号时,参数值会直接拼接到SQL语句中,不会生成预编译的占位符。这种方式适用于动态表名或列名,但存在SQL注入风险。符号时,MyBatis会生成预编译的SQL语句,参数值会被安全地替换为占位符。这种方式可以有效防止SQL注入。符号直接拼接SQL,若参数值来自用户输入且未过滤,可能导致SQL注入。符号生成的预编译SQL可被数据库缓存,提高重复查询效率。符号用于参数替换,但两者的处理方式不同。符号每次拼接SQL,无法利用缓存。符号通过预编译机制避免此问题。符号会生成预编译的占位符(即。符号会直接替换为参数值。
Mybatis#$区别
热门推荐
伏颜的博客
07-11 2万+
Mybatis#$区别
MyBatis#$区别
weixin_36873225的博客
08-01 553
下面是一个实例12345678select"map"SELECTFROMusersWHERE-- 为了方便拼接,可以始终使用一个始终成立的条件 -->-- 根据参数动态拼接排序字段排序顺序 -->= null">ORDERBY</if>
MyBatis# $区别与使用场景
m0_73154147的博客
08-18 664
MyBatis#{}${}的主要区别:1)#{}是预编译参数占位符,自动类型转换且防SQL注入;2)${}是字符串拼接,直接替换SQL文本,存在注入风险。使用建议:条件值用#{}确保安全,动态表名/列名等场景才用${},但必须严格校验输入参数。核心原则是优先使用#{},仅在必要场景谨慎使用${}。
Mybatis# $区别
m0_64630668的博客
10-29 481
特性#{}${}处理方式预编译,替换为?占位符直接字符串替换,拼接 SQL安全性防 SQL 注入(安全)存在 SQL 注入风险(不安全)参数类型自动加引号(字符串类型)需手动加引号(字符串类型)适用场景大多数参数传递(用户输入)动态 SQL 结构(表名、排序字段等)最佳实践:优先使用#{},仅在必须动态拼接 SQL 结构时使用${},且务必对${}的参数进行严格校验(如白名单限制)。
mybatis#$区别
weixin_49114503的博客
04-11 922
MyBatis中使用parameterType向SQL语句传参,parameterType支持的类型可以是基本类型int,String,HashMapjava自定义类型。#会进行预编译,安全,通过#{}传入的参数 mybatis会认为是一个字符串,自动加上引号“”$ 不会进行预编译,通过$ 传入的参数会直接取出来使用,可能会产生sql注入风险,而${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。简单说#{}是经过预编译的,是安全的。,其他的都建议用#{}传入。
Mybatis#$区别(通俗简单易解版)
一勺菠萝丶的博客
06-12 706
的标记。了解这两种方式的区别非常重要,因为它们在安全性功能上有明显的不同。我们将通过示例来说明这些差异,并提供实用的建议,以帮助开发者选择适当的方式,以确保应用程序的安全性效率。
Mybatis#$区别是什么?
牛肉胡辣汤
08-22 534
​时,MyBatis会将参数值以安全的方式替换到SQL语句中,使用的是PreparedStatement的预编译机制。​时,参数值会直接替换到SQL语句中,需要注意防止SQL注入攻击的风险。需要注意的是,使用​。​是安全的占位符,适合用于大部分情况下,并且推荐在编写MyBatis SQL语句时使用​。​是字符串替换的占位符,适合用于一些特殊的需求,但需要注意防止SQL注入攻击。​是字符串替换的占位符,它直接将参数的字符串值替换到SQL语句中。​进行占位符的标识,而是直接使用了​。​下面是一个使用​​。
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$区别 在...
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis中的#$区别
09-02
MyBatis中,`#``$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis中的#$符号的区别
m0_69529796的博客
03-22 1124
符号作用是否预编译SQL 注入风险占位符,参数绑定✔️ 支持预编译❌ 安全(防止SQL注入)字符串拼接❌ 不预编译⚠️ 有SQL注入风险场景推荐备注传递普通参数(数字、字符串)#{}安全、高效传递动态表名、字段名、排序规则${}需要手动校验,避免 SQL 注入MyBatis#{} 表示占位符,使用 PreparedStatement 预编译,能有效防止 SQL 注入,是最推荐的写法。
【编程基础知识】Mybatis#$两种参数替换符合有啥区别
Dylaniou的博客
09-09 394
Mybatis#$两种参数替换符合有啥区别
MybatisPlus的LambdaQueryWrapper用法
2301_79693537的博客
08-21 6712
【代码】MybatisPlus的LambdaQueryWrapper用法。
【顶级EI复现】【最新EI复现】基于共享储能服务的智能楼宇双层优化配置(Matlab代码实现)
11-25
【顶级EI复现】【最新EI复现】基于共享储能服务的智能楼宇双层优化配置(Matlab代码实现)
好大夫在线-问诊数据-医生ID:1010632293
最新发布
11-25
医生ID:1010632293的 2023-10-30 至 2025-11-21 的问诊列表数据
基于Python与OpenCV的实时人眼检测与眨眼状态识别系统实现
11-25
本指南详细阐述基于Python编程语言结合OpenCV计算机视觉库构建实时眼部状态分析系统的技术流程。该系统能够准确识别眼部区域,并对眨眼动作与持续闭眼状态进行判别。OpenCV作为功能强大的图像处理工具库,配合Python简洁的语法特性与丰富的第三方模块支持,为开发此类视觉应用提供了理想环境。 在环境配置阶段,除基础Python运行环境外,还需安装OpenCV核心模块与dlib机器学习库。dlib库内置的HOG(方向梯度直方图)特征检测算法在面部特征定位方面表现卓越。 技术实现包含以下关键环节: - 面部区域检测:采用预训练的Haar级联分类器或HOG特征检测器完成初始人脸定位,为后续眼部分析建立基础坐标系 - 眼部精确定位:基于已识别的人脸区域,运用dlib提供的面部特征点预测模型准确标定双眼位置坐标 - 眼睑轮廓分析:通过OpenCV的轮廓提取算法精确勾勒眼睑边缘形态,为状态判别提供几何特征依据 - 眨眼动作识别:通过连续帧序列分析眼睑开合度变化,建立动态阈值模型判断瞬时闭合动作 - 持续闭眼检测:设定更严格的状态持续时间与闭合程度双重标准,准确识别长时间闭眼行为 - 实时处理架构:构建视频流处理管线,通过帧捕获、特征分析、状态判断的循环流程实现实时监控 完整的技术文档应包含模块化代码实现、依赖库安装指引、参数调优指南及常见问题解决方案。示例代码需具备完整的错误处理机制与性能优化建议,涵盖图像预处理、光照补偿等实际应用中的关键技术点。 掌握该技术体系不仅有助于深入理解计算机视觉原理,更为疲劳驾驶预警、医疗监护等实际应用场景提供了可靠的技术基础。后续优化方向可包括多模态特征融合、深度学习模型集成等进阶研究领域。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
mybatis#$区别
12-30
### MyBatis 中 `#` `$` 符号的区别 #### 占位符功能差异 在 MyBatis 中,`#{}` `${}` 都可以作为占位符来插入参数到 SQL 语句中。然而两者的工作机制存在显著不同。 当使用 `#{}` 形式的占位符时,MyBatis 将其视为预处理语句 (PreparedStatement) 的参数绑定方式[^1]。这意味着实际的 SQL 发送到数据库之前会先由 JDBC 进行一次转义处理,从而有效防止 SQL 注入攻击的发生。 而采用 `${}` 方式,则是直接替换模板中的变量名为其对应的值字符串,并不做任何额外的安全检查或转换操作[^2]。因此,在某些特殊情况下可能会引入潜在风险。 #### 使用场景对比 由于上述特性上的差别,这两种语法适用于不同的编程环境: - 对于大多数常规查询条件构建而言,推荐优先选用 `#{}` 结构以增强应用程序的整体安全性; - 当遇到一些无法通过标准 API 实现的需求——比如表名、列名动态指定等情况时,则可能不得不借助 `${}` 完成相应逻辑编码工作;不过此时应当格外谨慎对待输入验证环节[^3]。 #### 示例代码展示 下面给出一段简单的例子说明如何分别运用这两种表达形式编写 Mapper XML 文件内的 SELECT 语句: ```xml <!-- 正确做法 --> <select id="findUserById" parameterType="int" resultType="com.example.User"> SELECT * FROM users WHERE user_id = #{userId} </select> <!-- 错误示范:容易遭受注入威胁 --> <select id="findByTableName" parameterType="string" resultType="map"> SELECT * FROM ${tableName} <!-- 不建议这样写 --> </select> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值