Mybatis中${}和#{}的区别

最新推荐文章于 2024-05-24 19:15:00 发布
最新推荐文章于 2024-05-24 19:15:00 发布
阅读量205 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Mybatis 文章标签: Mybatis的${}和#{}的区别
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_37510446/article/details/90375774
本文介绍Mybatis的mapper.xml语句中,parameterType向SQL语句传参的两种方式#{}和${}。#{}可防止SQL注入,其SQL经过预编译,会将参数转义为字符串;${}会将传入数据直接显示在SQL中,无法防止注入。还说明了两者使用场景及排序时的注意事项。

在Mybatis的mapper.xml语句中,parameterType向SQL语句传参由两种方式:${}和#{},我们经常使用的是#{},一般来说因为这种方式可以防止SQL注入,简单的说#{}这种方式的SQL是经过预编译的,------将#{}中间的参数转义为字符串:
例如执行下面的语句:
#{}
查询年龄为20的用户

select * from User where age=#{age};

解预编译之后的sql就变成了

select* from User where age=“20"

${}

select * from User where age=${age};

解析之后的sql就变成了

select  * from User where age=20;

接着下面一个例子,更加深入彻底理解:
查询名字为cc的用户信息
${}

select * from User where  name=${name}

若该传入的name为"‘cc’or ‘aa’"该执行语句就变成了

select * from User where  name=‘cc'or name= 'aa'

这样会执行成功,但同时也造成了sql注入
紧接着使用#{}看看

select * from User where  name=${name}

进行预编译时就变成了这样,所以无法执行成功

select * from User where  name=”‘cc'or name= 'aa'“

很明显该无法执行成功,会出错,所以这就防止了sql注入的风险
总结:
1#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号.
如:age=#{age},如果传入的值是11,那么解析成sql时的值为name=“11”, 如果传入的值是age,则解析成的sql为name =“age”,预编译无误之后然后在进行执行

2$将传入的数据直接显示生成在sql中。如:age=${age},如果传入的值是11,那么解析成sql时的值为name=11, 如果传入的值是age,则解析成的sql为name =age
  
3 #方式能够很大程度防止sql注入。
  
4$方式无法防止Sql注入。

5$方式一般用于传入数据库对象,例如传入表名
  
6一般能用#的就别用$.同时,MyBatis排序时使用order by 动态参数时需要注意,用$而不是#

18.<Mybatis补充($#区别+数据库连接池)>
m0_73456341的博客
10-23 1980
详解了 1.$#区别 2.数据库连接池。 3.简单了解MySQL企业开发规范
MyBatis中使用$#所遇到的问题及解决办法
09-01
MyBatis中,$#的使用是动态SQL的关键部分,它们决定了参数如何被处理插入到SQL语句中。下面将详细解释这两种符号的差异以及如何解决使用过程中遇到的问题。 1. #{}与${}的区别: - #{ }:这是MyBatis中的预...
js语法 `${ }` (模版字符串)
热门推荐
weixin_42776027的博客
09-23 4万+
摘自:https://segmentfault.com/q/1010000008876108/a-1020000008876319 const name = '小缘' const age = 14 console.info(`大家好,我叫${name},今年${age}岁了`) // 等价于 console.info('大家好,我叫' + name + ',今年' + age + '岁了')...
定义好变量,${age}模版字符串,对象可以放null,检验数据类型console.log(typeof str)
weixin_54048131的博客
05-24 315
对象可以放null 检验数据类型 检验数据类型效果
${}是啥意思
qq_53598683的博客
05-23 3191
{}是JavaScript中的模板字符串语法,用于在字符串中插入动态的变量或表达式。该语法可以包含任何JavaScript表达式,并将其结果插入到字符串中。{name}表示将name变量的值插入到字符串中,${age}则表示将age变量的值插入到字符串中。在这个代码中,我们定义了一个名为formatPrice的函数,用于将价格格式化为货币字符串。语法将函数调用插入到字符串中,以显示格式化后的价格。中的模板字符串语法,用于在字符串中插入动态的变量或表达式。,并将其结果插入到字符串中。
Mybatis学习五($#区别以及其他tips)
banfhty655060的博客
09-01 137
1.$#区别 1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'. 2 $是将传入的数据直接显示生成sql语句,eg:select id,name,age fr...
#{}¥{}的区别
weixin_44451005的博客
10-14 3818
实例: #{}的情况: select name form student where age=#{studentAge}; 参数studentAge=18 编译后 select name form student where age=?; ${}的情况: select name form student where age=${studentAge}; 参数studentAge=18 编译后 select name form student where age=18; 说明: 由上面的实例可见 1.
MyBatis${} #{}的正确使用方法(千万不要乱用)
08-18
MyBatis框架中,${} #{} 是两种不同的参数占位符,它们的使用方式作用有明显的区别,对于SQL语句的安全性效率有着重要影响。 1. #{} #{} 是预编译处理的方式,也被称为参数绑定或者预处理。在处理 #{ } ...
Mybatis下动态sql中##$$区别讲解
08-26
Mybatis下动态sql中##$$区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis中,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis中,使用...
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
vue语法 `${ }` (模版字符串)
图图小淘气的博客
12-04 1625
const name = '小缘' const age = 14 console.info(`大家好,我叫${name},今年${age}岁了`) // 等价于 console.info('大家好,我叫' + name + ',今年' + age + '岁了') // 最大的优势是支持换行字符串 const url = '//baidu.com' const text = '百度一下,你就知道' const html = ` <div class="container"> &l.
JS中${}使用
smyh_Java的博客
10-12 2882
et age = prompt('How old are you?', 100); alert(`You are ${age} years old!`); // You are 100 years old! 第二行中注意使用 ~键下的` `, 而非单引号 ' ' ,才能正确获取变量! 作为新手,在这里容易迷糊。
通配符 $ 替换
梦醒了该散了的博客
05-09 1892
通配符 $ 替换 开发过程中,我们会用到$通配符来匹配。假如有一段话 我是${userName},今年${age}岁,这个时间,别人只需要传userNameage,然后得到我们想要的话。我是张三,今年28岁.,下面代码来替换 /** * 给一个string 替换${linecode}的内容 * @param str 需要替换的string * @param map 参数map * @return */ public static Stri
JavaBean、EL表达式${ }、作用域-自动转换、常用方法
全干工程师
09-01 3289
JavaBean 1.JavaBean本身就是一个类,属于Java的面向对象编程。2.在JSP中如果要应用JSP提供的Javabean的标签来操作简单类的话,则此类必须满足如下的开发要求:(1)所有的类必须放在一个包中,在WEB中没有包的是不存在的;(2)所有的类必须声明为public class,这样才能够被外部所访问;(3)类中所有的属性都必须封装,即:使用private声明;(4)封装的属性
mongodb中比较级查询条件:($lt $lte $gt $gte)(大于、小于)、查找条件
西门大盗 捉虫专家
07-24 3万+
查询表中学生年级大于20,如下: db.getCollection('student').find({'age':{'$gt':'20'}}) $lt < (less than ) $lte <= (less than or equal to ) $gt > (greater than ) $gte >= (gre...
#{}与${}的区别使用选择
详情请看注释
12-20 1675
在我们开始使用mapper配置文件来进行编写SQL语句的时候,我们一直使用#{}来进行传参,我们传入一个对象,通过自动获取对象的属性来进行与SQL语句进行交互,其实在传参的时候,还有一种方式,就是:${},那么我们来说一下他们的区别#{}与${}的区别使用选择 #{}: 会把参数的位置使用”?”做占位符,执行SQL的时候才会替换”?”的值 我们在使用M...
MyBatis中parameterType参数传递与获取,#{}${}区别,LIKE查询
JSai的博客
07-01 1841
Mybatis传入参数类型 在MyBatis的select、insert、update、delete这些元素中都提到了parameterType这个属性。MyBatis现在可以使用的parameterType传入以下类型的参数,拼接sql语句。 基本类型:int,String,long,Date; 集合类型:数组,List,Map 对象类型:POJO对象 一、传入基本类型 通过#{参数名},...
MyBatis的学习(三)——Mapper XML 文件parameterType的传入参数
有问题请发邮箱dengyifanlittle@163.com进行讨论
11-05 1万+
一、Mapper XML 文件 Mapper映射文件是在实际开发过程中使用最多的,也是我们学习的重点。 Mapper文件中包含的元素有: cache – 配置给定命名空间的缓存。 cache-ref – 从其他命名空间引用缓存配置。 resultMap – 映射复杂的结果对象。 sql – 可以重用的 SQL 块,也可以被其他语句引用。 insert – 映射插入语句 update...
mybatis$#区别
最新发布
10-25
MyBatis中,`$``#`是两个特殊的字符,它们在动态SQL生成中有重要的作用: 1. `$`: 这是MyBatis的传统方式(即JDBC预编译语句的遗留支持),在动态SQL表达式中用于引用参数的值。当你在mapper XML文件中直接写 `${parameterName}`,它会被替换为传入的参数值。例如: ```xml <select id="selectUser" parameterType="map" resultType="User"> SELECT * FROM user WHERE name = #{name} </select> ``` 2. `#`: 这种形式是MyBatis 3.3及以上版本推荐使用的,特别是在Spring Boot集成时,它可以更好地避免SQL注入攻击,因为MyBatis会将`#{}`视为一个表达式,并通过EL(Expression Language)引擎去解析安全地传递参数值。这种写法更安全且易于维护。同样地: ```xml <select id="selectUser" parameterType="User" resultType="User"> SELECT * FROM user WHERE name = #{name} </select> ``` 在上述XML中,`#name`会被Spring EL引擎解析成对应的请求参数值。 总结来说,`$`在老版本中使用较多,而`#`不仅提供了更好的安全特性,还兼容了更多现代的依赖框架。使用`#`时,参数的类型信息会保存在Mapper的参数映射中,有助于MyBatis性能优化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值