Mybatis的 #{}与${}区别

最新推荐文章于 2023-05-08 10:46:44 发布

原创最新推荐文章于 2023-05-08 10:46:44 发布 · 239 阅读

1 ·

CC 4.0 BY-SA版权

Java 同时被 3 个专栏收录

22 篇文章

订阅专栏

Java基础

16 篇文章

订阅专栏

DataBase

13 篇文章

订阅专栏

在mybatis查询时，参数传递方式可以是#{}或者是$ {}。
两者的区别是：
一， #{}传参时会将传入参数当成是一个字符串，为这个字符串加上引号。而$ {}则不会加引号例：

select * from user where name = #{name}  //如果传的name是"小明"
对应的sql执行的语句就是
select * from user where name = "小明"

select * from user where name = ${name}
对应执行
select * from user where name = 小明 //这中查询条件对应的值就一般都会用#，不加”“的话sql无法执行
${}一般用来传表名、字段名等数据库对象，如：order by ${}

二， #{}能够很大程度防止sql注入，而${}无法防止sql注入，所以能用#{}的时候就尽量使用#{}。
为什么说#{}能防止sql注入：
#{}在mybatis中的底层是运用了PreparedStatement 预编译，传入的参数会以 ? 形式显示，因为sql的输入只有在sql编译的时候起作用，当sql预编译完后，传入的参数就仅仅是参数，不会参与sql语句的生成，而 $ {}则没有使用预编译，传入的参数直接和sql进行拼接，由此会产生sql注入的漏洞。
$ {}没有预编译会造成sql注入的例子：

select * from user where name =  ${name}

对于这样的sql语句，如果传参是 ** name = ‘sam or 1=1’ **
那么使用 ${}对应生成的sql就是：

select * from user where name = sam or 1=1

这样就会将全部数据查出来无法起到该有的作用，会带来较大问题。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

liutaiyi8

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

【编程基础知识】Mybatis中#和$两种参数替换符合有啥区别

Dylaniou的博客

09-09

397

Mybatis中#和$两种参数替换符合有啥区别

MyBatis中#和$符的区别，sql注入问题，动态sql语句

m0_73381672的博客

02-06

2017

#{}和${}都是MyBatis提供的sql参数替换。区别是： #{}是预编译处理，${}是字符串直接替换。 #{}可以防止SQL注入，${}存在SQL注入的风险，例如 “' or 1='1” 虽然存在SQL注入风险，但也有自己的适用场景，比如排序功能，表名，字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat，安全性高。模糊查询虽然${}可以完成，但是存在SQL注入，不安全。

参与评论您还未登录，请先登录后发表或查看评论

MyBatis中${ }与#{ }有什么区别?

春卷同学的博客

07-19

489

1、#{}是预编译处理，MyBatis在处理#{ }时，它会将sql中的#{ }替换为？，然后调用PreparedStatement的set方法来赋值； 2、${}是字符串替换，MyBatis在处理${ }时,它会将sql中的${ }替换为变量的值。注意：使用${ }会导致 sql注入，不利于系统的安全性！ SQL注入：就是通过把SQL命令插入到Web表单提交或输入域...

mybatis #{} 以及 ${}

minzhang001的博客

10-23

1万+

动态 sql 是 mybatis 的主要特性之一，在 mapper 中定义的参数传到 xml 中之后，在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法：#{} 以及 ${}。在下面的语句中，如果 username 的值为 zhangsan，则两种方式无任何区别：select * from user where name = #{name

MyBatis中#{}和${}的区别详解

halo0623的博客

01-09

307

首先看一下下面两个sql语句的区别： <select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap"> select id, username, password, role from user where username = #{user...

Mybatis #和$

井底之蛙

03-16

1万+

在mybatis的mapper文件中，对于传递的参数我们一般是使用#和$来获取参数值。当使用#时变量是占位符，就是一般我们使用java jdbc的PrepareStatement时的占位符？，所有可以防止sql注入当使用$时，变量就是直接追加在sql中，一般会有sql注入问题。一个问题就是：在使用mybatis传递时间变量时，如果通过#方式获取变量值，可能会出现与数据库的字段的

mybatis中的#和$的区别

热门推荐

kobi521的专栏

11-25

11万+

1. #将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。如：order by #user_id#，如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id，则解析成的sql为order by "id". 　　 2. $将传入的数据直接显示生成在sql中。如：order by $user_id$，如果传入的值是111,那么解析成sql时的

浅谈Mybatis #和$区别以及原理

08-18

浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架，它提供了两个占位符：#和$，它们均用于参数化SQL语句，但是它们的作用和原理却有所不同，本文将详细介绍这两者的区别和原理。 #和$的区别在...

Mybatis中#{}和${}传参的区别及#和$的区别小结

09-02

在MyBatis框架中，`#{}`和`${}`是两种不同的参数占位符，它们在处理传参时有着显著的差异，同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。首先，`#{}`是MyBatis的预编译参数占位...

Mybatis下动态sql中##和$$的区别讲解

08-26

Mybatis下动态sql中##和$$的区别讲解 Mybatis是一款流行的ORM框架，能够帮助开发者快速构建数据库交互应用程序。在Mybatis中，动态SQL是一种强大特性，能够根据不同的输入参数生成不同的SQL语句。在Mybatis中，使用...

MyBatis 中 #{} 和 ${} 的区别

liuyuinsdu的专栏

03-12

1487

1、在MyBatis 的映射配置文件中，动态传递参数有两种方式：（1）#{}占位符（2）${}拼接符 2、#{}和${}的区别（1） 1）#{}为参数占位符?，即sql 预编译 2）${}为字符串替换，即sql 拼接（2） 1）#{}：动态解析 ->预编译-> 执行 2）${}：动态解析 ->编译-> 执行（3） 1）#{}的变量替换是在DBMS中 2）${}的变量替换是在DBMS外（4） 1）变量替换后，...

Mybatis笔记八：MyBatis中#{}和${}的区别

weixin_34280237的博客

03-17

121

先给大家介绍下MyBatis中#{}和${}的区别，具体介绍如下： 1. $将传入的数据直接显示生成在sql中2. #方式能够很大程度防止sql注入。　3.$方式无法防止Sql注入。4.$方式一般用于传入数据库对象，例如传入表名.5.一般能用#的就别用$.MyBatis排序时使用order by 动态参数时需要注意，用$而不是#。如果使用#Mybatis排序不起作用，会使用默认asc orde...

mybatis中的#和$的区别?

gol_phing的博客

08-12

932

mybatis中的#和$

yangyou55的博客

06-02

950

#相当于对数据加上双引号，$相当于直接显示数据 1. #将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。如：order by #user_id#，如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id，则解析成的sql为order by "id".　　2. $将传入的数据直接显示生成在sql中。如：order by $user_id$，如...

Mybatis中${}与#{}的区别

XingChenHuanYu的博客

03-17

258

当输入参数是普通类型时（8个基本类型+String）： #{任意值}，会自动给String类型加上引号（自动类型转换）, 可以防止sql注入 ${value}，其中的标识符只能是value。 ${}原样输出，适合于动态排序（动态字段），加引号方式为’${}’。不能防止sql注入当输入参数为对象类型时：占位符只能是对象的属性名： #{属性名} ${属性名} ...

Mybatis中的$和#

sillyyyy的博客

05-08

2802

在SQL语句执行时，Mybatis会将$占位符替换为对应的参数值，并将SQL语句发送到数据库执行。使用$占位符可以在某些情况下提高SQL语句的性能，因为在预编译时不需要处理参数占位符。#用于预编译，表示参数占位符，例如：#{username}。在SQL语句执行时，Mybatis会将占位符替换为对应的参数值，并将SQL语句发送到数据库执行。使用#占位符可以有效地防止SQL注入攻击，因为Mybatis会将参数值转义后再替换占位符。使用哪种占位符取决于具体的需求，如果需要防止SQL注入攻击，则应该使用#占位符；

Mybatis#{}和${}的区别

记录点滴

12-10

144

参考链接： 1、https://segmentfault.com/a/1190000004617028 2、https://www.jianshu.com/p/b3b4a4fb8a54

面试集锦1：精讲#{}和${}的区别是什么？

douzhi7060的博客

03-01

416

经常碰到这样的面试题目：#{}和${}的区别是什么？网上的答案是：#{}是预编译处理，KaTeX parse error: Expected 'EOF', got '#' at position 20: …符串替换。mybatis在处理#̲{}时，会将sql中的#{}替…{}时，就是把${}替换成变量的值。使用#{}可以有效的防止SQL注入，提高系统安全性。对于这个题目我感觉要抓住两点：（1...

mybatis中的#{}和${}

submorino的专栏

11-25

2578

mybatis中的#{}和${} 1、在MyBatis 的映射配置文件中，动态传递参数有两种方式：（1）#{}占位符（2）${}拼接符 2、#{}和${}的区别（1）　　1）#{}为参数占位符?，即sql 预编译　　2）${}为字符串替换，即sql 拼接（2）　　1）#{}：动态解析 ->预编译-> 执行　　2）${}：动态解析 ->编译-> 执行（3）　　1）#{}的变量替换是在DBMS中　　2）${}...

mybatis#和$