MyBatis源码的学习(22)---关于#和$的区别,简单类型$中只能用value吗??

最新推荐文章于 2024-06-24 09:30:00 发布
原创 最新推荐文章于 2024-06-24 09:30:00 发布 · 511 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了MyBatis中#和$在处理简单类型时的差异,通过测试和源码分析发现,在MyBatis 3.5.4版本中,不论是#{}还是${},在接收简单类型参数时,内部名称可以任意写,并无实际区别。文中详细介绍了源码解析的过程,特别是getBoundSql方法和handleToken方法的作用。

最近在整理mybatis中关于#和$的区别的时候,其中看到网上有一条是:

${}接收输入参数,类型可以是简单类型,pojo、hashmap。

如果接收简单类型,${}中只能写成value。

#{}表示一个占位符号,#{}接收输入参数,类型可以是简单类型,pojo、hashmap。

如果接收简单类型,#{}中可以写成value或其它名称。

上面加黑的部分,经过测试,不管是$还是#,单个参数时,二者没有区别的,里面可以任意写,版本是3.5.4的

package learn;

import org.apache.ibatis.annotations.Param;
import org.apache.ibatis.annotations.Select;
import org.apache.ibatis.session.RowBounds;

import java.util.List;

public interface UserMapper {

  //使用注解式的sql注入
  @Select("select * from u_user where usercode = #{简单类型只有一个参数的时候随便写}")
  public  User selectOne(String id);

  //使用注解式的sql注入
  @Select("select * from u_user where usercode = #{param1.userCode}")
  public  User selectOneByUser(@Param("user") User user);

  //使用注解式的sql注入
  @Select("select * from u_user where usercode = #{userCode}")
  public  User selectOneByUser2(User user666);

  //使用注解式的sql注入
  @Select("select * from u_user limit ${index},1")
  public  User selectOneByUser3(@Param("index") int index);

  //使用注解式的sql注入
  @Select("select * from u_user limit ${单个简单类型参数随便写没问题},1")
  public  User selectOneByUser4(Integer index);

  //使用注解式的sql注入
  @Select("select * from u_user where usercode like '%${随便写都可以}%' ")
  public  User selectOneByUser5(String id);

}

下面我们进行源码分析:

先分析#{}这种的情况

之前的文章都有介绍果参数赋值的操作,我们直接看赋值的代码

 //DefaultParameterHandler 类 进行赋值操作
@Override
  public void setParameters(PreparedStatement ps) {
    ErrorContext.instance().activity("setting parameters").object(mappedStatement.getParameterMap().getId());
    List<ParameterMapping> parameterMappings = boundSql.getParameterMappings();
    if (parameterMappings != null) {
      for (int i = 0; i < parameterMappings.size(); i++) {
        ParameterMapping parameterMapping = parameterMappings.get(i);
        if (parameterMapping.getMode() != ParameterMode.OUT) {
          Object value;
          String propertyName = parameterMapping.getProperty();
          if (boundSql.hasAdditionalParameter(propertyName)) { // issue #448 ask first for additional params
            value = boundSql.getAdditionalParameter(propertyName);
          } else if (parameterObject == null) {
            value = null;
          } else if (typeHandlerRegistry.hasTypeHandler(parameterObject.getClass())) {
//对于 #{} 才会走这个方法进行赋值
//如果是简单类型,String,包装类,Date等40个默认处理器,存在,我们直接进行了赋值。也就是直接把
//入参的值传递给了value,所以  #{这里可以随便写}
            value = parameterObject;
          } else {
            MetaObject metaObject = configuration.newMetaObject(parameterObject);
            value = metaObject.getValue(propertyName);
          }
          TypeHandler typeHandler = parameterMapping.getTypeHandler();
          JdbcType jdbcType = parameterMapping.getJdbcType();
          if (value == null && jdbcType == null) {
            jdbcType = configuration.getJdbcTypeForNull();
          }
          try {
//将value赋值操作
            typeHandler.setParameter(ps, i + 1, value, jdbcType);
          } catch (TypeException | SQLException e) {
            throw new TypeException("Could not set parameters for mapping: " + parameterMapping + ". Cause: " + e, e);
          }
        }
      }
    }
  }

然后我们看,${} 的赋值操作,在我们进行getBoundSql()操作的时候,才会解析动态sql。所以我们直接看getBoundSql方法

// 来自 DynamicSqlSource类 
@Override
  public BoundSql getBoundSql(Object parameterObject) {
    DynamicContext context = new DynamicContext(configuration, parameterObject);
//这一步进行动态sql的解析
    rootSqlNode.apply(context);
    SqlSourceBuilder sqlSourceParser = new SqlSourceBuilder(configuration);
    Class<?> parameterType = parameterObject == null ? Object.class : parameterObject.getClass();
    SqlSource sqlSource = sqlSourceParser.parse(context.getSql(), parameterType, context.getBindings());
    BoundSql boundSql = sqlSource.getBoundSql(parameterObject);
    context.getBindings().forEach(boundSql::setAdditionalParameter);
    return boundSql;
  }

//动态文本节点的信息存储在TextSqlNode类中,我们看它的解析方法

  @Override
  public boolean apply(DynamicContext context) {
    GenericTokenParser parser = createParser(new BindingTokenParser(context, injectionFilter));
    context.appendSql(parser.parse(text));
    return true;
  }

在这个parse方法中,我们重点看handleToken方法, 下面是处理前和处理后的效果:

点进去,一直断点跟踪,最后会到下面的逻辑:

重点看我们的map.get(name)

首先这个map是一个ContextMap,它重写了get方法

//DynamicContext$ContextMap 内部类 
 @Override
    public Object get(Object key) {
      String strKey = (String) key;
      if (super.containsKey(strKey)) {//存在key时,使用父类的get操作
        return super.get(strKey);
      }

      if (parameterMetaObject == null) {
        return null;
      }
      //我们的在这个分支
      if (fallbackParameterObject && !parameterMetaObject.hasGetter(strKey)) {
//返回我们的结果 
        return parameterMetaObject.getOriginalObject();
      } else {
        // issue #61 do not modify the context when reading
        return parameterMetaObject.getValue(strKey);
      }
    }
  }

结论:${},#{}在对简单类型处理的时候(包装类,字符串,Date),里面都是可以任意写的,在这里是没有区别的。 

深入 MyBatis-Spring 源码解析 ——揭秘 MyBatis 与 Spring 的完美融合
喵手的博客
12-09 1761
当谈到 Java 的持久层框架,MyBatis 几乎总会出现在讨论中;它轻量、灵活,非常适合需要复杂 SQL 查询的场景。而我们的大管家 Spring,除了帮我们管理依赖控制反转之外,还可以跟 MyBatis 完美地配合在一起!这就是我们今天要讨论的主题——。在这个分析中,我们将通过源码来揭秘 MyBatis-Spring 是如何在两者间架起桥梁的,希望让你对其工作原理有一个深入的理解。MyBatis-Spring 是 Spring 提供的一个适配器模块,它的目标是帮助开发者在 Spring 应用中。
mybatis#{}${}符号的区别
m0_51176516的博客
06-01 188
Mybatis的接口映射文件UserMapper.xml、参数传递有2种方式、一种是#{}、另一种是${} 二者有着很大的区别: ’#{}’ 实现的是sql语句的预处理参数、之后执行sql中用?号代替、使用时不需要关注数据类型mybatis自动实现数据类型的转换、并且可以防止sql注入; ’${}’ 实现是sql语句的直接拼接、不做数据类型转换。需要自行判断数据类型、不能防止sql注入; 总结: #$区别: 1、#是预编译的方式,$是直接拼接; 2、#不需要关注数据类型mybatis实现
mybatis#{}${value}的区别
良丶良良良良良良良
02-28 1324
#{}:表示一个占位符,相当于预编译对象的SQL中的? 可以有效防止SQL注入; Mybatis会自动进行参数的Java类型JDBC类型转换; #{}的是属性名称。如果只有一个参数并且是简单类型,里边可以是value或者其它名称 映射配置文件中的SQL:select * from user where username like #{username} 单元测试中传递实参:%王% 最终执...
#{}${}的区别
Sandul的博客
04-27 163
#表示占位符, 相当于JDBC中的?, 底层工作的是PreparedStetement对象, SQL只编译一次, 而且没有SQL注入问题 #当传入的参数为一个简单类型时, #{}可以随便 $ 表示字符串拼接, 底层工作的是Statement对象, 每次都会重新编译, 而且存在 SQL 注入问题 $ 当传入的参数为一个简单类型时, ${}只能value ...
Mybatis方法实现传递多个值解决
方圆 Blog
04-06 338
简单的pojo类 public class User { private int id; private String name; private String password; } 方法一:利用注解实现(推荐 比如说,我们想通过id来修改name 在接口中我们定义方法 void updateNameById(@Param("id")int id,@Param("nam...
mybatis#{} ${}的区别
qq_42528170的博客
10-18 151
#{} #{}:相当于预处理中的占位符?。 #{}里面的参数表示接收java输入参数的名称。 #{}可以接受HashMap、POJO类型的参数。 当接受简单类型的参数时,#{}里面可以是value,也可以是其他。 #{}可以防止SQL注入。 ${} ${}:相当于拼接SQL串,对传入的值不做任何解释的原样输出。 ${}会引起SQL注入,所以要谨慎使用。 ${}可以...
mybatis源码学习------类型处理器模块
我是兴锅的博客
09-29 550
简介 ① MyBatis 为简化配置文件提供了别名机制,该机制是类型转换模块的主要功能之一。 ② 类型转换模块的另一个功能是实现 JDBC 类型与 Java 类型之间的转换,该功能在为 SQL 语句绑定实参以及映射查询结果集时都会涉及: 在为 SQL 语句绑定实参时,会将数据由 Java 类型转换成 JDBC 类型。 而在映射结果集时,会将数据由 JDBC 类型转换成 Java 类型类型处理器的作用如下图所示 TypeHandler接口及其实现类 TypeHandler接口中定义了两种类型的方
mybatis源码学习------resultMapsql片段的解析
我是兴锅的博客
11-02 595
resultMap的解析 书接上回,mybatis对于<resultMap></resultMap>标签解析的方法入口为: resultMapElements(List list) 根据mybatis-3-mapper.dtd文件中对于resultMap的定义可知,一个mapper节点内可以定义任意多个resultMap节点,所以resultMapElements方法会遍历所有的resultMap进行解析,代码如下: private void resultMapElements(L
精选资源
springboot整合mybatis-plus项目源码示例
02-19
在IT行业中,Spring BootMyBatis-Plus的整合是常见的数据访问技术组合,它们能够帮助开发者快速构建高效、简洁的后端服务。本项目源码示例将深入讲解如何在Spring Boot应用中整合MyBatis-Plus,以实现数据库操作的...
MyBatis 源码分析-- SQL请求执行流程( Mapper 接口方法的执行的过程)
最新发布
weixin_42118323的博客
06-24 1209
MapperProxy#invoke 方法会判断执行的方法是否是 Object 类的方法,如果是就无需代理,否则才会走代理的方法,代理的方法有两个默认实现 一个是普通方法 PlainMethodInvoker 默认方法实现 DefaultMethodInvoker。CachingExecutor#query 会判断是否使用了缓存,如果允许使用缓存会先从二级缓存查询,二级缓存中查询不到才会去查询一级缓存或者数据库,如果二级缓存为空或者不允许使用缓存就会直接去查询一级缓存或者数据库。
MybatisDay01
weixin_44023129的博客
01-10 477
MybatisDay01 mybatis主要学习的知识内容有一下所示: Spring,SpringMVC, Mybatis = SSM Mybatis学习路径: 快速入门:搭建环境 CURD 动态sql拼接 多表查询 其它内容:懒加载,缓存,注解开发 一、Mybatis概述 1. 框架简介 什么是框架 框架:是整个或部分应用的可重用设计,是可定制化的应用骨架。它可以帮开发人员简化开发过程,提高开发效率。 完成一个系统的时候: 跟业务需求无关,而又不得不的代码:==>封装成框架,由框架帮
mybatis】IF判断的坑
z69183787的专栏
06-05 1万+
最近在项目使用mybatis中碰到个问题  Xml代码   if test="type=='y'">       and status = 0    if>   当传入的type的值为y的时候,if判断内的sql也不会执行,抱着这个疑问就去看了mybatis是怎么解析sql的。下面我们一起来看一下mybatis 的执行过程。  DefaultSqlS
MyBatis学习(二)
搁浅记忆的博客
04-22 1049
    在上一篇文章MyBatis学习(一)中我们对mybatis框架有了一个大致的认识也算基本上入门了,并且完成了“根据用户id(主键)查询用户信息”这个案例。在这篇文章中我们继续学习mybits中更多的高级用法。    首先我们接着完成第三个案例“添加用户”在User.xml文件中编添加用户的sql语句:&lt;!-- 添加用户 --&gt; &lt;insert id="insertUs...
mybatis简单了解
2401_84007015的博客
04-12 704
我个人认为,如果你想靠着背面试题来获得心仪的offer,用癞蛤蟆想吃天鹅肉形容完全不过分。想必大家能感受到面试越来越难,想找到心仪的工作也是越来越难,高薪工作羡慕不来,却又对自己目前的薪资不太满意,工作几年甚至连一个应届生的薪资都比不上,终究是错付了,错付了自己没有去提升技术。这些面试题分享给大家的目的,其实是希望大家通过大厂面试题分析自己的技术栈,给自己梳理一个更加明确的学习方向,当你准备好去面试大厂,你心里有底,大概知道面试官会问多广,多深,避免面试的时候一问三不知。
MyBatis-03】几个注意点
kevin_cheung的专栏
08-31 298
通过上边两篇文章分别分析了执行过程,过程中使用到的对象及一个小demo,下面是对这两天涉及到的技术做一个总结。 主要是涉及到mapper的内容。 一、关于#{}${} 1.#{}表示占位符?,#{}接收简单类型的参数时,里面的名称可以任意。 2.${}表示拼接符,${}接收简单类型的参数时,里面的名称必须是value。 3.${}里面的值会原样输出,不加解析,如果该参数值是字符
mybatis parameterType 传入多个参数的使用
猎人在吃肉
07-16 2万+
mybatis parameterType 多个参数 一、单个参数: public List&amp;amp;lt;XXBean&amp;amp;gt; getXXBeanList(@param(&amp;quot;id&amp;quot;)String id); &amp;amp;lt;select id=&amp;quot;getXXXBeanList&amp;quot; parameterType=&
Mybatis中的#{}#{}区别,及以模糊查询为例
破折号--的博客
12-04 2684
Mybatis中的#{}#{}区别,及以模糊查询为案例1.#{}与${}可以干什么2.区别1>2>3>    为什么呢?4>3.总结4.模糊查询案例1.使用#{ }进行模糊查询2.使用${ }进行模糊查询 1.#{}与${}可以干什么 Mybatis的Mapper.xml语句中parameterType向SQL语句传参有两种方式:       1:#{ }: 可以接收简单类型值或者p
彻底搞懂MyBaits中#{}${}的区别
热门推荐
緑水長流*z
07-11 3万+
MyBatis的`#{}`之所以能够预防SQL注入是因为底层使用了`PreparedStatement`类的`setString()`方法来设置参数,此方法会获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则会在前面加上一个`'/'`代表转义此符号,让其变为一个普通的字符串,不参与SQL语句的生成,达到防止SQL注入的效果。 **其次`${}`本身设计的初衷就是为了参与SQL语句的语法生成**,自然而然会导致SQL注入的问题(不会考虑字符过滤问题)。
Mybatis SqlNode
CoderLi
05-13 433
我们在以前的文章中曾经介绍过 OGNL 强大的表达式引擎 我们知道在 BaseExecutor#query 中 @Override public <E> List<E> query(MappedStatement ms, Object parameter, RowBounds rowBounds, ResultHandler resultHandler) throws SQLException { BoundSql boundSql = ms.getBoundSql(param.
mybatis-generator-core-support类文件注释支持
值得注意的是,由于该资源聚焦于“支持类文件注释”,因此其源码中应包含大量关于如何安全操作 AST(抽象语法树)、避免重复添加注释、处理编码问题(尤其是中文注释乱码)、兼容不同数据库方言(MySQL、Oracle、...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值