Mybatis中${}和#{}的区别

最新推荐文章于 2024-10-17 13:00:28 发布
原创 最新推荐文章于 2024-10-17 13:00:28 发布 · 913 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了Mybatis中${}和#{}的作用,它们的区别在于${}是在编译前替换,不处理SQL注入,而#{}在SQL编译后替换并自动进行SQL注入防护。#{}适合用于查询条件的值注入,${}适用于字段或表名的动态注入,但需注意SQL注入风险。

 

${}和#{}的作用

Mybatis在项目中起到的是项目和数据库的交互以及sql语句的管理,sql语句的集中管理,方便开发人员对sql语句的复用和管理,但是既然需要复用,就表明sql语句本身是进过抽象的,抽象的目标就是参数,在不同的用途就需要传入不同的参数${}和#{}就是用来向已经定义好的sql语句传入参数的。

${}和#{}的区别

#{} 这种取值是变异号sql语句之后再取值,添加的值有' '包裹

${} 这种取值是取值之后再去编译sql语句,添加的值没有' '包裹

#{}的使用案例

<select id = "selectUser" parameterType="String" resultType="com.mybatis.po.MyUser">
    select * from user where account = #{account} and password = #{password}
</select>

上述sql语句经过编译之后的结果是

select * from user where account = '122221122' and password = '1515131811515'

${}的使用案例

<select id = "selectUser" parameterType="String" resultType="com.mybatis.po.MyUser">
    select * from user where account = ${account} and password = ${password}
</select>

上述sql语句经过编制之后的结果是

select * from user where account = 122221122 and password = 1515131811515

${}和#{}的使用场景

  • ${} 添加参数的时候值的两边没有‘’,可以使用在字段和表名的参数注入

  • #{}添加参数的时候值的两边有'',可以使用在查询条件对应值的注入

${}导致的sql注入的情况

上面案例中的sql语句,如果password传入的参数值是‘12252152521 or 1=1’
select * from user where account = 122221122 and password = 12252152521 or 1=1

#{}防止sql注入的情况

select * from user where account = 122221122 and password = '12252152521 or 1=1'
18.<Mybatis补充($#区别+数据库连接池)>
m0_73456341的博客
10-23 2075
详解了 1.$#区别 2.数据库连接池。 3.简单了解MySQL企业开发规范
MyBatis中使用$#所遇到的问题及解决办法
09-01
MyBatis中,$#的使用是动态SQL的关键部分,它们决定了参数如何被处理插入到SQL语句中。下面将详细解释这两种符号的差异以及如何解决使用过程中遇到的问题。 1. #{}与${}的区别: - #{ }:这是MyBatis中的预...
MyBatis${} #{}的正确使用方法(千万不要乱用)
08-18
主要介绍了MyBatis${} #{}的正确使用方法,本文给大家提到了MyBatis${} #{}的区别,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Mybatis${}与#{}的区别
XingChenHuanYu的博客
03-17 258
当输入参数是普通类型时(8个基本类型+String): #{任意值}, 会自动给String类型加上引号(自动类型转换), 可以防止sql注入 ${value}, 其中的标识符只能是value。 ${}原样输出,适合于动态排序(动态字段),加引号方式为’${}’。 不能防止sql注入 当输入参数为对象类型时: 占位符只能是对象的属性名: #{属性名} ${属性名} ...
mybatis中的#$区别
热门推荐
kobi521的专栏
11-25 11万+
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的
mybatis#$区别
10-09 7万+
MyBatis/Ibatis中#$区别 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".   2. $将传入的数据直接显示生成在sql中。如:order by $us
Mybatis#{}与¥{}的区别与联系
qq_44788380的博客
08-27 839
Mybatis#{}与¥{}的区别与联系
Mybatis下动态sql中##$$区别讲解
08-26
Mybatis下动态sql中##$$区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis中,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis中,使用...
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Mybatis中¥{}域#{}的区别
weixin_71307869的博客
06-20 1305
#{}是预编译处理,${}是字符串替换。 详情:(1)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值。(2)mybatis在处理时 , 就 是 把 {}时,就是把时,就是把{}替换成变量的值。(3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输入非法参数,也不会对SQL的结构产生影响,从而避免了潜在的安全风险。(4)预编译是提前对SQL语句进行预编译,而其后注入
mybatis中的#$区别?
gol_phing的博客
08-12 932
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为
MyBatis# $区别
脚印
01-03 1264
#相当于对数据加上双引号,$相当于直接显示数据 #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sq 时的值为:order by “111”;如果传入的值是id,则解析成的sql为:order by “id” $将传入的数据直接显示生成在sql中。如:order by useriduser_iduser...
Mybatis 中#{}${}
qq_52764609的博客
06-07 314
2. Mybatis 在处理#{}时,会将 sql 中的#{}替换为?号,调用 PreparedStatement 来赋值。3. Mybatis 在处理${}时,就是把${}替换成变量的值,调用 Statement 来赋值。1.#{}是预编译处理、是占位符,${}是字符串替换、是拼接符。4.使用#{}可以有效的防止 SQL 注入,提高系统安全性。
MyBatisMyBatis#{}与¥{}的区别
AloneYue优快云
11-08 3219
文章目录mybatis#{}与¥{}的区别 mybatis#{}与¥{}的区别 #{} 是预编译处理,像传进来的数据会加个" "(#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号)与JDBC一样创建prearedStatement参数占位符并安全设置参数(就像使用 ? 一样),安全迅速,转义字符,不会有SQL注入问题 1.${} 就是字符串替换。直接替换掉占位符。$方式一般用于传入数据库对象或固定变量,例如传入表名,例如字段名 2.使用 ${} 的话会导致 sql 注入。什么是 SQ
Mybatis#{}${}的区别
Damon_zqt的博客
05-03 314
1、场景:数据库有两个一模一样的表。历史表,当前表 查询表中的信息,有时候从历史表中去查询数据,有时候需要去新的表去查询数据。 希望使用1个方法来完成操作。 &lt;select id="queryUserByTableName" resultType="com.zpc.mybatis.pojo.User"&gt; select * from #{tableName} &lt;/selec...
Mybatis中的 ${} #{}区别与用法
ywb201314的专栏
11-06 604
Mybatis 的Mapper.xml语句中parameterType向SQL语句传参有两种方式:#{}${} 我们经常使用的是#{},一般解说是因为这种方式可以防止SQL注入,简单的说#{}这种方式SQL语句是经过预编译的,它是把#{}中间的参数转义成字符串,举个例子: select * from student where student_name = #{name}  预编译后,会动...
mybatis中的#{}${}的区别
jackzhang1996的博客
03-25 330
mybatis中的#{}${}的区别 FIRST 首先要搞清楚一个动态解析预编译。动态解析可以理解为mybatis将mapper中的sql解析为预编译语句可以认识的预编译sql;预编译就是PreparedStatement对sql进行编译,变为DBMS可以直接执行的sql。 SECOND #{}是占位符、防止sql注入,mybatis在动态解析的时候会将#{} 替换为? 然后用Prepared...
关于MyBatis中的「#$」符号
x18273的博客
10-17 1033
因为在数据库中对于Varchar的赋值是需要用到单引号来概括的,而#{ }会对我们需要传参的数据加上‘ ’,这样就不会报错了例如:select*from userinfo where name =#{username};3.#{ }可以防止sql的注入,而${ }存在着sql注入的风险,所以能使用#{ }就尽量使用#{ }。但并不是所有的场景都适用于使用#{ },例如 排序功能、表名、字段名作为参数时,就不适合使用#{ }来进行传参了,因为#{ }为给他们都加上‘ ’,在这些情况就需要使用${ }了。
mybatis#$
zhaoweixs的专栏
03-22 449
#是预编译,$是拿到什么放什么 这段话是在网上查到的,今天用出现一个问题,我把parameterType设置为int,传递一个参数type,用${type }获取,报了一个很奇怪的异常:无法在Integer中找到type的get方法,查了半天没找到原因,然后我把parameterType改为map,key为type,就没事了,还可以把parameterType改为int,用#{type,jdbc
mybatis$#区别
最新发布
10-25
MyBatis中,`$``#`是两个特殊的字符,它们在动态SQL生成中有重要的作用: 1. `$`: 这是MyBatis的传统方式(即JDBC预编译语句的遗留支持),在动态SQL表达式中用于引用参数的值。当你在mapper XML文件中直接写 `...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值