MyBatis mapper文件中的变量引用方式#{}与${}的差别

最新推荐文章于 2024-10-23 17:13:11 发布
最新推荐文章于 2024-10-23 17:13:11 发布
阅读量1.2k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jaryle/article/details/52899938
本文介绍了在MyBatis中,mapper文件中#{}和${}两种变量引用方式的差异。#{}用于防止SQL注入,适用于PreparedStatement,而${}则会导致SQL注入风险,适用于直接插入不修改的字符串,如字段名或表名。建议尽量使用#{}以确保安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今天写代码的时候在order的sql中需要用到动态的参数,于是习惯性的使用了#结果测试了半天一直报错,想了想觉得不对啊,怎么会错呢?上网一查才知道,order后面的参数不应该被转义,而#后面的参数是被要转义的,目的是防止sql注入,但是order后面一般都使用的是非转义的字符,所以在order中使用动态变量时要用$,例如:

select username,address,age from user order by ${orderColumn} ${order}

orderColumn你可以写成1,2之类的数字,而order可以写成我们熟悉的desc/asc

好了,遇到这个问题的小伙伴们快去修改吧。

总结:最简单的区别就是${}解析穿过来的参数值不带单引号,#{}解析传过来参数带单引号。

默认情况下,使用#{}语法,MyBatis会产生PreparedStatement语句中,并且安全的设置PreparedStatement参数,这个过程中MyBatis会进行必要的安全检查和转义。
示例1:
执行SQL:Select * from emp where name = #{employeeName}
参数:employeeName=>Smith
解析后执行的SQL:Select * from emp where name = ?
执行SQL:Select * from emp where name = ${employeeName}
参数:employeeName传入值为:Smith
解析后执行的SQL:Select * from emp where name =Smith

综上所述、${}方式会引发SQL注入的问题、同时也会影响SQL语句的预编译,所以从安全性和性能的角度出发,能使用#{}的情况下就不要使用${}

但是${}在什么情况下使用呢?

有时候可能需要直接插入一个不做任何修改的字符串到SQL语句中。这时候应该使用${}语法。

比如,动态SQL中的字段名,如:ORDER BY ${columnName}

注意:当使用${}参数作为字段名或表名时、需指定statementType为“STATEMENT”,如:

<select id="queryMetaList" resultType="Map" statementType="STATEMENT">Select * from emp where name = ${employeeName} ORDER BY ${columnName}</select>


MyBatis中的Mapper文件配置——编写mybatis mapper.xml文件
AI天才研究院
07-29 6731
MyBatis 是一款优秀的持久层框架,它可以使得使用 SQL 和 HQL 来操作数据库变得很简单, MyBatis 将原生的jdbc API隐藏在接口中,使开发人员更关注业务逻辑,从而方便地实现数据持久化操作。MyBatis 中最重要的组件之一就是 MyBatisMapper XML 配置文件Mapper XML 配置文件用来描述 MyBatis 映射器接口及其对应的 SQL、SQL语句的参数类型、返回值类型等信息。
Mybatis中的${}和#{}区别
sebeefe的博客
06-08 246
动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前, mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{}以及${}提示:以下是本篇文章正文内容,下面案例可供参考(1)#{}:参数占位符,即预编译 (2)${} :字符串替换符,即SQL拼接(1)#{}:很大程度上能防止sql 注入 (2)${}:不能防止sql 注入DBMS:数据库管理系统(Database Management System)是一
mybatis配置文件中的${}和#{}有什么区别?
看不过的黑工坊
06-15 1万+
转自:http://zhidao.baidu.com/link?url=wFu4dsnKG-n2zx7ehfzHTrnGexmizJsXMvX39PmjN6KktYFtPAfcmXs89lR0k85SMkUXmHtfBA7DHOr9UwVQGA39AXmE0a1yDwOiGxvjos3 #{},和 ${}传参的区别如下: 使用#传入参数是,sql语句解析是会加上"",当成字符串来解析,
MapInfo 文件格式说明(id、map、tab、dat)
木有问题
04-25 2059
(1)、 属性数据的表结构文件.TAB 属性数据表结构文件定义了地图属性数据的表结构,包括字段数、字段名称、字段类型和字段宽度、索引字段及相应图层的一些关键空间信息描述。.TAB文件实际上是一个文本文件,可以在写字板中打开观察其内容。 (2)、 属性数据文件.DAT 属性数据文件中存放完整的地图属性数据。在文件头之后,为表结构描述,其后首尾相接地紧跟着各条具体地属性数据记录。 (3)、 交叉索引文...
Mybatis mapper.xml使用全局变量的三种方式
lijiabin417的博客
09-15 6550
mybatis 全局变量动态配置表名和库名
mybatis全局变量的应用详解
峰晨的博客
01-24 4989
mybatis.configuration.variables mybatis.configuration.variables是一个可自定义的全局变量,本篇以springboot项目为例说明问题,源码如下,部分省略: package org.apache.ibatis.session; public class Configuration { protected Properties variables; } 就是一个properties的属性配置对象,这个对象中的属性,是作为mybatis的全局变量
超详细MyBatis#{} 和 ${} 区别
weixin_52078607的博客
04-08 1135
MyBatis#{} 和 ${} 区别 MyBatis#{} 和 ${} 区别 MybatisMapper映射文件中,有两种方式可以引用形参变量进行取值: #{} 和 ${}。本文将简述两种方式的区别和适用场景。 一、取值引用 1) #{} 方式 #{}: 解析为SQL,会将形参变量的值取出,并自动给其添加引号。 例如:当实参username="Amy",传入下Mapper映射文件后 <select id="findByName" parameterType="String" r
Mybatis下动态sql中##$$的区别讲解
08-26
Mybatis中,使用Mapper.xml文件来定义SQL语句,并使用#{ }和${ }来传递参数。那么,在Mybatis下动态sql中##$$的区别是什么呢? 首先,我们需要了解的是,Mybatis在对SQL语句进行预编译之前,会对SQL语句进行...
18.<Mybatis补充($#的区别+数据库连接池)>
m0_73456341的博客
10-23 1955
详解了 1.$#的区别 2.数据库连接池。 3.简单了解MySQL企业开发规范
Mabitis中的#$符号区别及用法介绍
08-31
MyBatis中,`#`和`$`符号在SQL动态语句中扮演着不同角色,它们的主要区别和用法如下: 一、`#``$`的区别 1. `#{}`:MyBatis将`#{}`视为PreparedStatement的参数标记符。当SQL语句中的`#{}`被解析,它会被...
MyBatis
daochutoudaima的博客
10-15 768
MyBatis 学习总结
mybatis/mybatis plus 设置全局参数/全局变量/全局属性/手动设置全局参数
热门推荐
mashangzhifu的博客
02-09 1万+
一、问题描述 有候在使用mybatis/mybatis plus过程中,需要用到一些全局变量,方便维护,比如表名前缀,为整个项目使用统一的表前缀,将它定义为一个变量,在xml中直接使用就行了,这就省去了很多事。 二、解决方法 有以下2中方式可以实现: 方法一 mybatis/mybatis plus默认就支持全局变量,可通过如下方式配置: mybatis-plus配置: mybatis-plus: typeAliasesPackage: com.xxx.entity mapperLocations
mybatis mapper.xml中resultMap配置带有自定义类做成员变量的类;mapper.xml引用另一个mapper.xml中的内容
qq_35215728的博客
08-30 1168
mapper.xml中resultMap配置带有自定义类做成员变量的类 前情提要:每一个person对应一张会员卡(card) /*card类*/ @Data @NoArgsConstructor @AllArgsConstructor @ToString @Table(value = "card") @Alias("Card") public class Card { private Integer id; private String cardNo; private Str
Mybatis(三)-MybatisMapper接口的变量详解
kesteler的博客
03-18 1351
Mapper.xml的参数命名
MyBatisMybatis 使用 @变量名:= You have an error in your SQL syntax; check the manual that corresponds t
我是Superman丶的博客
11-09 476
MyBatisMybatis 使用 @变量名:= You have an error in your SQL syntax;必须要在数据源上加上。
mybatis #{}和${}
zhang1088632743的博客
01-09 565
#{}是预编译处理,${}是字符串替换。mybatis在处理#{},会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值;mybatis在处理${},就是把${}替换成变量的值。使用#{}可以有效的防止SQL注入,提高系统安全性。 可以这样理解: 预编译的机制: 预编译就是是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。我们知道,SQL...
Mybatis中SqlMapper配置的扩展应用(3)
a540010的博客
11-19 255
隔了两周,首先回顾一下,在Mybatis中的SqlMapper配置文件中引入的几个扩展机制: 1.引入SQL配置函数,简化配置、屏蔽DB底层差异性 2.引入自定义命名空间,允许自定义语句级元素、脚本级元素 3.引入表达式配置,扩充SqlMapper配置的表达能力 前面两条已经举过例子,现在来看看怎么使用表达式配置。说到表达式语言,最为富丽堂皇的自然就是OGNL,但这也正是Mybati...
mapping文件的编写(以及实体类xml中类型的对应关系)
chenxingde的博客
02-18 7241
注意事项(1): 实体类 - 数据库 — xml(jdbc) Integer – int – INTEGER Float – float– REAL
mybatis#$的区别?
最新发布
12-30
### MyBatis 中 `#` 和 `$` 符号的区别 #### 占位符功能差异 在 MyBatis 中,`#{}` 和 `${}` 都可以作为占位符来插入参数到 SQL 语句中。然而两者的工作机制存在显著不同。 当使用 `#{}` 形式的占位符MyBatis...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值