Mybatis中#和$的区别

已于 2024-07-18 11:51:50 修改
阅读量2w 收藏 207
点赞数 40
分类专栏: 后端学习积累 文章标签: 大数据 java mybatis mysql
于 2022-07-11 14:02:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_52388979/article/details/125720091
版权

目录

一、#占位符的特点

二、$占位符的特点 

三、两者不同之处

1.含义不同

2.两者的实现方式不同

(1) $作用相等于是字符串拼接

(2) #作用相当于变量值替换

3、使用场景不同

在使用mybatis框架开发项目编写SQL语句的时候,经常需要用到变量替换值,那么用来替换变量值的操作经常用到$和#这两个符号,同样在一些Java面试中也经常被问到它们的区别。那么它们在使用上面有什么区别呢?下面根据使用情况分析总结,两者的区别。

一、#占位符的特点

1. MyBatis处理 #{ } 占位符,使用的 JDBC 对象是PreparedStatement 对象,执行sql语句的效率更高。

2. 使用PreparedStatement 对象,能够避免 sql 注入,使得sql语句的执行更加安全。

3. #{ } 常常作为列值使用,位于sql语句中等号的右侧;#{ } 位置的值与数据类型是相关的。

二、$占位符的特点 

1. MyBatis处理 ${ } 占位符,使用的 JDBC 对象是 Statement 对象,执行sql语句的效率相对于 #{ } 占位符要更低。

2. ${ } 占位符的值,使用的是字符串连接的方式,有 sql 注入的风险,同时也存在代码安全的问题。

3. ${ } 占位符中的数据是原模原样的,不会区分数据类型。

4. ${ } 占位符常用作表名或列名,这里推荐在能保证数据安全的情况下使用 ${ }。

三、两者不同之处

1.含义不同

#会把传入的数据都当成一个字符串来处理,会在传入的数据上面加一个双引号来处理。

而$则是把传入的数据直接显示在sql语句中,不会添加双引号。

比如:

 其中如果传入的username类型为字符型,比如输入zhangsan,那么username=#{username}#表示的就是username=”zhangsan”,如果传入的username类型为数值类型,比如输入11,那么username=#{username},#表示的就是username=”11”。

其中如果传入的username类型为整型类型,那么在执行sql语句时就不会出错,但是如果传入的username类型为字符串型,比如输入zhangsan,那么username=${username}就会变成username=zhangsan,执行会报错,所以sql语句必须写成下面这样。

2.两者的实现方式不同

(1) $作用相等于是字符串拼接

 相当于使用StringBuffer的append方法将${username}$追加在select username,pass from t_login where username=后面,拼接在一起。

(2) #作用相当于变量值替换

相当于使用PreparedStement接口来对#{username}#来进行赋值操作,当传入的有 "or 1=1"的时候将会查出所有内容,这就是sql注入危险。

3、使用场景不同

(1) 在sql语句中,如果要接收传递过来的变量的值的话,必须使用#。因为使用#是通过PreparedStement接口来操作,可以防止sql注入,并且在多次执行sql语句时可以提高效率。

(2) $只是简单的字符串拼接而已,所以要特别小心sql注入问题。对于sql语句中非变量部分,那就可以使用$,比如$方式一般用于传入数据库对象(如传入表名)。

例如:

select * from ${tableName},$ 对于不同的表执行统一的查询操作时,就可以使用$来完成。

(3) 如果在sql语句中能同时使用#和$的时候,最好使用#。

mybatis中的#$区别
kobi521的专栏
11-25 11万+
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的
mybatis - 取值符号:# $区别
pig_ning的博客
04-25 1004
mybatis - 取值符号:# $区别
Mybatis中的#$符号的区别
最新发布
m0_69529796的博客
03-22 604
符号作用是否预编译SQL 注入风险占位符,参数绑定✔️ 支持预编译❌ 安全(防止SQL注入)字符串拼接❌ 不预编译⚠️ 有SQL注入风险场景推荐备注传递普通参数(数字、字符串)#{}安全、高效传递动态表名、字段名、排序规则${}需要手动校验,避免 SQL 注入MyBatis#{} 表示占位符,使用 PreparedStatement 预编译,能有效防止 SQL 注入,是最推荐的写法。
mybatis#$区别
热门推荐
灰太狼
03-22 2万+
mybatis接口mapper文件中引用传入的参数是通过#{param}或者${param}来使用的。1.数据类型匹配#:会进行预编译,而且进行类型匹配$:不进行数据类型匹配2.实现方式 #:用于变量替换$:实质上是字符串拼接3.#$的使用场景(1)变量的传递,必须使用#,使用#{}就等于使用了PrepareStatement这种占位符的形式,提高效率。可以防止sql注入等等问题。#方式一般用...
Mybatis#$区别
dingqinghu的专栏
05-30 1万+
#号与$区别#号表示参数,$代表一个字符串。如: select a,b,c from table1 where id=#value#,传入参数后如:value="1", 则可生成:select a,b,c from table1 where id=‘1’。 select a,b,c from table1 where city like '%$value$%',传入参数后: valu
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$区别 在...
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis中的#$区别
09-02
MyBatis中,`#``$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
MyBatis#$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 1878
#{}${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
Mybatis下动态sql中##$$区别讲解
08-26
Mybatis下动态sql中##$$区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis中,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis中,使用...
Mybatis$#区别
MengW9的博客
09-18 910
一 : mybatis$# 1.数据类型匹配 #:会进行预编译,而且进行类型匹配 $:不进行数据类型匹配 2.实现方式 #:用于变量替换 $:实质上是字符串拼接 3.#$的使用场景 (1)变量的传递,必须使用#,使用#{}就等于使用了PrepareStatement这种占位符的形式,提高效率。可以防止sql注入等等问题。#方式一般用于传入添加,修改的值或查询,删除的where条件...
MyBatis$#区别
zy103118的博客
03-09 829
MyBatis$#区别 0.1322017.08.17 01:59:41字数 439阅读 2,490 动态 SQL 是 mybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } ${ } 会有不同的表现 1.都可以获取对象中的属性值,$[name] #[name]相同 2.#可以防.
Mybatis #{ } ${ } 区别
weixin_30558305的博客
09-22 150
动态 SQL 是 Mybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。Mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } ${ } 会有不同的表现: select * from user where name = #{name}...
MyBatis# $区别
脚印
01-03 1165
#相当于对数据加上双引号,$相当于直接显示数据 #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sq 时的值为:order by “111”;如果传入的值是id,则解析成的sql为:order by “id” $将传入的数据直接显示生成在sql中。如:order by useriduser_iduser...
MySQL#{}与${}的区别
AcHEn的博客
10-25 1万+
#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”. $将传入的数据直接显示生成在sql中。如:order by useriduser_iduseri​d,如果传入的值是111,那么解析成sql时的值...
mybatis$#区别
CollectorAndCreator
03-22 293
#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”.    将传入的数据直接显示生成在sql中。如:orderby将传入的数据直接显示生成在sql中。如:order by user_id$,如果传入的值
mybatis#$区别
12-30
### MyBatis 中 `#` `$` 符号的区别 #### 占位符功能差异 在 MyBatis 中,`#{}` `${}` 都可以作为占位符来插入参数到 SQL 语句中。然而两者的工作机制存在显著不同。 当使用 `#{}` 形式的占位符时,MyBatis 将其视为预处理语句 (PreparedStatement) 的参数绑定方式[^1]。这意味着实际的 SQL 发送到数据库之前会先由 JDBC 进行一次转义处理,从而有效防止 SQL 注入攻击的发生。 而采用 `${}` 方式,则是直接替换模板中的变量名为其对应的值字符串,并不做任何额外的安全检查或转换操作[^2]。因此,在某些特殊情况下可能会引入潜在风险。 #### 使用场景对比 由于上述特性上的差别,这两种语法适用于不同的编程环境: - 对于大多数常规查询条件构建而言,推荐优先选用 `#{}` 结构以增强应用程序的整体安全性; - 当遇到一些无法通过标准 API 实现的需求——比如表名、列名动态指定等情况时,则可能不得不借助 `${}` 完成相应逻辑编码工作;不过此时应当格外谨慎对待输入验证环节[^3]。 #### 示例代码展示 下面给出一段简单的例子说明如何分别运用这两种表达形式编写 Mapper XML 文件内的 SELECT 语句: ```xml <!-- 正确做法 --> <select id="findUserById" parameterType="int" resultType="com.example.User"> SELECT * FROM users WHERE user_id = #{userId} </select> <!-- 错误示范:容易遭受注入威胁 --> <select id="findByTableName" parameterType="string" resultType="map"> SELECT * FROM ${tableName} <!-- 不建议这样写 --> </select> ```
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

伏颜.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值