MyBatis- #{}和${}的区别

最新推荐文章于 2024-09-21 23:33:54 发布
原创 最新推荐文章于 2024-09-21 23:33:54 发布 · 146 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解释了MyBatis中#{}

#是预编译处理  $是字符串替换

mybatis在处理#{}时,会将sql中的#{}替换为?占位,在sql执行之前会使用PreparedStatement(预编译对象) 的set方法,按序给sql中的?占位符设置参数.

mybatis在处理${}时,就是把${}静态替换成变量的值.(${}的key值只能写成value)

使用#{}能够有效的防止sql的注入问题,提高系统的安全性.

新人一看就懂: #{} ${} 的区别
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
#{}与${}的区别
热门推荐
孙叫兽的博客
08-28 1万+
默认情况下,使用#{}语法,MyBatis会产生PreparedStatement语句中,并且安全的设置PreparedStatement参数,这个过程中MyBatis会进行必要的安全检查转义。 示例1: 执行SQL:Select * from emp where name = #{employeeName} 参数:employeeName=>Smith 解析后执行的SQL...
【JavaEE进阶】 #{}${}
m0_71731682的博客
01-27 2628
{}:预编译处理,${}:字符直接替换#{}可以防⽌SQL注⼊,${}存在SQL注⼊的⻛险,查询语句中,可以使⽤#{},推荐使⽤#{}但是⼀些场景,#{}不能完成,⽐如排序功能,表名,字段名作为参数时,这些情况需要使⽤${}模糊查询虽然${}可以完成,但因为存在SQL注⼊的问题,所以通常使⽤mysql内置函数concat来完成。
#{}${}的区别
weixin_50977434的博客
11-10 2634
简单明了实用
#{}${}的区别
m0_54861649的博客
08-01 1795
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。因此我收集了一份《java开发全套学习资料》送给大家,初衷也很简单,就是希望帮助到想自学又不知道该从何学起的朋友,同时减轻大家的负担。{}没有这个功能,可以是sql手动拼接的,这里前后逻辑可能并不严密,但是sql入去最简单的例子就是这样。4.#{}的变量替换是在DBMS中、变量替换后,#{}对应的变量自动加上单引号。1.#{}是预编译处理,是占位符,${}是字符串替换,是拼接符。...
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$区别...
MyBatis - #{} ${}
m0_74859835的博客
09-21 980
mybatis - #{ } ${ } 的使用区别,预编译SQL 即时SQL 的优缺点,及SQL注入问题
mybatis - 取值符号:# $区别
pig_ning的博客
04-25 1229
mybatis - 取值符号:# $区别
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
【编程基础知识】Mybatis#$两种参数替换符合有啥区别
Dylaniou的博客
09-09 407
Mybatis#$两种参数替换符合有啥区别
面试突击76:${} #{} 有什么区别
Chenhui98的博客
08-23 621
{}${}是直接替换,而 #{} 是预处理;2、使用场景不同:普通参数使用 #{},如果传递的是 SQL 命令或 SQL 关键字,需要使用${},但在使用前一定要做好安全验证;3、安全性不同:使用${}存在安全问题,而 #{} 则不存在安全问题。来源:https://juejin.cn/post/7134865815001628702。
Mybatis之一个SQL语句说清#{}${}的区别
wuud__的博客
02-16 380
先创建一个方法用来进行测试,方法对应xml文件内的sql语句如下 <select id="getMoreById" resultType="cn.mybatis.demo1.model.User"> select * from User where id= ${start_id} or id = #{end_id} </select> 修改Myba...
#{} ${} 的区别
weixin_45817985的博客
07-13 4009
#{}与${}
MyBatis中防止 sql注入及#{ }${ }的区别
qq_39181839的博客
06-01 377
MyBatis 可以使用简单的 XML 或注解来配置映射原生信息,将接口 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。 动态 sql 是 mybatis 的主要特性之一,在mybatis中我们可以把参数传到xml文件,由mybatis对sql及其语法进行解析,mybatis支持使用${}#{}。 那么${}#{}有什么区别呢? mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析。 #{} #{}是sql
mybatis#$区别
最新发布
04-28
### MyBatis中`#`与`$`的区别 #### 1. 基本概念 在 MyBatis 中,`#{}` `${}` 是用于动态替换 SQL 参数的两种不同语法形式。两者的实现机制适用场景有所不同。 - `#{}` 表达式会被 MyBatis 转换为 JDBC 的 PreparedStatement 形式的占位符 (`?`) 并通过预编译的方式绑定参数值[^3]。 - `${}` 则是简单的字符串替换操作,直接将变量值插入到 SQL 字符串中[^4]。 --- #### 2. 工作原理对比 ##### (1) `#{}` 预编译方式 当使用 `#{}` 时,MyBatis 会将其转换为 JDBC 的 PreparedStatement,并调用其 `setXXX()` 方法来设置参数值。这种机制能够有效防止 SQL 注入攻击,因为它确保了参数值不会被解析为 SQL 的一部分[^3]。 示例代码如下: ```sql <select id="getUserById" parameterType="int" resultType="User"> SELECT * FROM users WHERE id = #{userId} </select> ``` 在此例子中,`#{userId}` 将被替换成一个问号 (`?`),最终生成的 SQL 如下: ```sql SELECT * FROM users WHERE id = ? ``` 随后,MyBatis 使用 `PreparedStatement.setXXX()` 设置实际参数值。 --- ##### (2) `${}` 字符串替换方式 `${}` 的作用是对传入的参数进行简单替换,不涉及任何预编译或安全性检查。因此,在某些情况下可能会导致 SQL 注入风险[^4]。 示例代码如下: ```sql <select id="getUsersByTable" resultType="User"> SELECT * FROM ${tableName} WHERE status = &#39;active&#39; </select> ``` 如果 `tableName` 的值为 `"users"`,则最终生成的 SQL 为: ```sql SELECT * FROM users WHERE status = &#39;active&#39; ``` 但如果 `tableName` 来自外部输入且未经过验证,则可能导致恶意注入行为。 --- #### 3. 安全性比较 由于 `#{}` 使用的是预编译机制,因此可以很好地防范 SQL 注入问题;而 `${}` 只是一个单纯的字符串拼接工具,无法提供类似的保护措施。所以,在涉及到用户输入或其他不可信任的数据源时,应优先考虑使用 `#{}`。 --- #### 4. 应用场景分析 | 特性 | `#{}` | `${}` | |---------------------|------------------------------------------------------------------------------------------|---------------------------------------------------------------------------------------| | **工作模式** | 预编译 SQL | 简单字符串替换 | | **安全性** | 较高(能有效预防 SQL 注入) | 较低(容易受到 SQL 注入威胁) | | **适用范围** | 大多数常规查询条件字段,如数值、字符串等 | 动态表名、列名或者需要嵌套复杂表达式的场合 | 具体来说: - 如果只是普通的查询条件(比如 ID 或者名称),推荐采用 `#{}`; - 当遇到必须手动指定表名或者其他元数据的情况时才适合运用 `${}`。 --- ### 总结表格 | 对比项 | `#{}` | `${}` | |--------------------|-----------------------------------------------------------------------------------------|--------------------------------------------------------------------------------------| | 替换时机 | 执行 SQL 前由 MyBatis 自动完成 | 解析阶段即刻发生 | | 是否支持预编译 | 支持 | 不支持 | | 数据类型适配 | 自动匹配 | 需要显式声明 | | SQL 注入防护能力 | 强 | 弱 | | 推荐使用的场景 | 普通参数传递 | 动态修改 SQL 结构的部分,例如表名/列名 | ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值