MyBatis的#{}占位符和${}拼接符的区别

最新推荐文章于 2024-05-22 01:54:13 发布
最新推荐文章于 2024-05-22 01:54:13 发布
阅读量1.7k 收藏 5
点赞数 2
CC 4.0 BY-SA版权
分类专栏: java开发 文章标签: mybatis # $ mybatis #{} ${}
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m_Tenderness/article/details/91900452
本文详细解析了MyBatis中#与$符号在SQL语句中的不同作用,#被视为预编译参数,能有效防止SQL注入,而$直接插入值,存在安全隐患。文章通过实例对比了两者在参数传递、模糊查询及排序中的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

# 对传入的参数视为字符串,会首先对sql语句进行预编译,使用PreparedStatement ,sql语句中有?存在
举个栗子:
select * from user where id = #{id},传入id值为5,sql语句预编译为 select * from user where id = ?
那么传过来的SQL语句就是 select * from user where id = ‘5’;
实例mapper中的sql语句

    <!--    根据主键删除teacher-->
      <delete id="deleteByPrimaryKey" parameterType="java.lang.Long">
        delete from  t_teacher
           where id = #{id,jdbcType = BIGINT}
      </delete>

该语句执行时spring日志打印信息

	==>  Preparing: delete from t_teacher where id = ? 
	==> Parameters: 10(Long)
	<==    Updates: 1

$ 将不会将传入的值进行预编译
select * from user where id = ${id},传入id值为5,
那么传入后的SQL语句就是 select * from user where id = 5;
实例mapper中的sql语句

    <!--    根据主键list删除teacher-->
      <delete id="deleteByPrimaryKeyList" parameterType="java.util.List">
        delete from  t_teacher
            where id in
        <foreach collection="list" item="id" open="(" separator="," close=")">
            ${id}
        </foreach>
      </delete>

该语句执行时spring日志打印信息

	==>  Preparing: delete from t_teacher where id in ( 43 , 44 ) 
	==> Parameters: 
	<==    Updates: 2

# 能在很大程度上防止sql注入,而 $ 则不行。
对于sql语句:select * from user where account = #{account} and password = #{pwd},
如果前台传来的账户名是“a”,密码是 “1 or 1=1”,用#的方式就不会出现sql注入,sql语句为
select * from user where account = ‘a’ and password = ‘1 or 1=1’ 查出account为a,password为1 or 1=1的用户
,而如果换成$方式,sql语句就变成了
select * from user where account = a and password = 1 or 1=1 查出全部用户数据
这样会产生sql注入的情况,比较不安全

MyBatis排序时使用order by 动态参数时需要注意,用$而不是#
在进行模糊查询时,需要进行模糊匹配,采用$可以使用like ‘%${remark}%’ 方法,因为${}不会在

	<!--    根据备注模糊查询teacher-->
    	<select id="selectByRemark" parameterType="java.lang.String" resultMap="BaseResultMap">
        	select <include refid="Base_Column_List"/>
        	from t_teacher
        	where 1 = 1
        	<if test="remark != null and remark != ''">
            	and remark like CONCAT('%',#{teacher.remark},'%')
        	</if>
   		</select>

官方文档
默认情况下,使用 #{} 格式的语法会导致 MyBatis 创建 PreparedStatement 参数占位符并安全地设置参数(就像使用 ? 一样)。 这样做更安全,更迅速,通常也是首选做法,不过有时你就是想直接在 SQL 语句中插入一个不转义的字符串。 比如,像 ORDER BY,你可以这样来使用:

ORDER BY ${columnName}
这里 MyBatis 不会修改或转义字符串。

当 SQL 语句中的元数据(如表名或列名)是动态生成的时候,字符串替换将会非常有用。
如果你想通过任何一列从表中 select 数据时,不需要像下面这样写:

@Select(“select * from user where id = #{id}”)
User findById(@Param(“id”) long id);

@Select(“select * from user where name = #{name}”)
User findByName(@Param(“name”) String name);

@Select(“select * from user where email = #{email}”)
User findByEmail(@Param(“email”) String email);

// and more “findByXxx” method
可以只写这样一个方法:
@Select(“select * from user where ${column} = #{value}”)
User findByColumn(@Param(“column”) String column, @Param(“value”) String value);

mybatis#$使用区别
学无止境
02-27 1149
mybatis#$使用区别
MyBatis#{}${}的区别
weixin_43763697的博客
09-26 366
在SQL语句中,除了关键词、数值、运算符、函数名等非常固定的内容以外,所有内容都会被视为某个名字,例如:表名、字段名或其它自定义的名称(例如索引名等)
9 方法区
积少成多
08-17 583
Java 8 Lambda表达式
Mybatis占位符 #$区别
qq_43185247的博客
12-30 445
印象笔记记录 点我打开笔记
Mybatis#{}与${}占位符
EthanZ001的博客
09-11 393
由于采用了预编译的做法, 所有值都不用考虑数据类型的问题, 例如 , 不需要给字符串类型的值添加一对单引号, 并且, 预编译是安全的,由于不是预编译的, 字符串, 日期等类型的值需要添加一对单引号, 否则, 将被视为字段名, 运算表达式等, 由于是先代入值再执行编译相关流程, 所以, 代入的值是可以改变语义的, 是。这种做法中, ${ }占位符可以表示SQL语句中的任何片段, 只需要保证拼接起来后可以通过编译即可!在Mybatis中, 使用#{ }格式的占位符, 在底层实现时, 会使用。
forever_2h mybatis占位符#{} ${}
wscrf的博客
03-27 389
#{}占位符用来设置参数,参数的类型可以有3种,基本类型,自定义类型,map基本类型作为参数,参数与占位符中的名称无关。&lt;select id="findById" parameterType="int" resultType="cn.wh.vo.Role"&gt; select * from t_role where id = #{xxxid} &lt;/select...
MyBatis占位符#{}与${}的区别
pan_nworld的博客
07-09 498
MyBatis占位符#{}与${}的区别 1、#{}占位符 语法: #{字符} Mybatis处理#{} 使用jdbc 中的PrepareStatement对象 例: mapper文件: <select id="selectById" parameterType="int" resultType="com.bjpowernode.domain.Student"> select id,name,email,age from student whe
mybatis$#区别以及各自的使用场景
2301_77760093的博客
03-14 2046
MyBatis 中,$ # 都是用于参数绑定的,但它们之间存在明显的差异,主要体现在参数的预处理方式安全性上。
Mybatis#$区别
伏颜的博客
07-11 2万+
Mybatis#$区别
Mybatis占位符 ${} and #{} 兄弟二人!
weixin_45925109的博客
04-07 377
{}占位符 可以直接看最后的总结! 介于上篇博客中Mybatis快速入门 增删改查 傻瓜教程!SQL语句中的值是写死在SQL中,而在实际开发中,此处的值往往是用户提交过来的值,因此这里我们需要将SQL中写死的值替换为占位符。 1.查询emp表中指定id的员工信息 <select id="findById" resultType="com.tedu.pojo.Emp"> selec...
mybatis占位符#{} ${}的区别
a201717的博客
09-17 599
mybatis#{} ${} 的区别 #{}表示一个占位符号,通过 #{} 可以实现 preparedStatement 向占位符中设置值,自动进行 java 类型 jdbc 类型转换。#{} 可以有效防止 sql注入。 #{} 可以接收简单类型值或 pojo 属性值。 如果 parameterType 传输单个简单类型值,#{} 括号中可以是 value 或其它名称。 Map...
占位符:#{}$
骑大马挎大刀
11-09 1031
#{}特点: 1.使用的JDBC的PrepareStatement对象,执行sql语句编译一次,效率高. 2.使用的JDBC的PrepareStatement对象,能便面sql注入,sql语句执行更安全. 3.#{}常常作为列值使用的,位于等号的右侧,#{}位置的值数据类型有关,如果#{}中的参数是String,那么调用的其实是PrepareStatement中的setString()方法,并且给值加上引号. ${}特点: 1.${}在语法上#{}几乎是一样的.(现在知道的,区别是在dao接口传一个简单
#{}与${}的区别
weixin_44863976的博客
09-08 1万+
#{}与${}的区别 区别 1. #{} 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符;而${}仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。 2. #{} 解析之后会将String类型的数据自动加上引号,其他数据类型不会;而${} 解析之后是什么就是什么,他不会当做字符串处理。 3...
MyBatis】参数占位符 #{} ${}
关关的博客
05-22 1532
#{}${}区别详解
MyBatis——谈谈占位符#$)的理解与使用
热门推荐
贝尔摩德苦艾酒
03-02 3万+
MyBatis——谈谈占位符#$)的理解与使用
Mybatis学习笔记:#{}占位符${}字符串替换的区别
山鬼谣的专栏
03-22 1575
1、#{}是预编译处理,$ {}是字符串替换 (1)#{} 表示一个占位符,采用preparedStatement给占位符设置值,自动进行java类型jdbc类型转换,进行预编译处理,#{}可以有效防止sql注入(预编译是提前对SQL语句进行编译,而其后注入的参数将不会再进行编译) (2)${} 表示字符串替换,通过${}可以将parameterType或实体 传入的内容拼接在sql中且不进行jdbc类型转换 举例说明二者区别,现在有如下SQL: select count(1) from user whe
MyBatis的属性装配
weixin_34239592的博客
09-14 325
2019独角兽企业重金招聘Python工程师标准>>> ...
新人一看就懂: #{} ${} 的区别
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
关于#{} ${}格式的占位符之间的区别
chen7360的博客
08-28 1757
关于#{} ${}格式的占位符之间的区别 MyBatis允许在配置SQL语句时使用#{}${}这两种格式的占位符来表示参数值. **简单原则: **在原来使用JDBC技术编程时, 编写SQL语句时可以写问号?的位置, 都使用#{}格式的占位符; 不可以写问号的位置,必须使用${}格式的占位符! 使用#{}格式的占位符,只能表示某个值! MyBatis在处理时, 会通过预编译的方式进行处理, 即: 先使用问号对占位符表示的值进行占位, 并将整个SQL语句交由MySQL进行编译线管的处理( 包括词法分析、
8、mybatis占位符#$
最新发布
12-27
### MyBatis 中 `#` `$` 占位符区别 #### 1. 工作原理差异 在 MyBatis 中,`#` `$` 都是用来在 SQL 语句中插入参数的占位符,但两者的工作原理不同。 对于 `#` 占位符而言,它会将传入的数据都当成字符串来处理,并自动加上单引号。这种方式可以有效防止 SQL 注入攻击[^1]。例如: ```sql SELECT * FROM users WHERE id = #{userId} ``` 而 `$` 占位符则不会对数据做任何特殊处理,而是直接将其作为原生字符串拼接到 SQL 语句中。这意味着如果输入未经严格校验,则可能存在安全风险[^3]。比如: ```sql SELECT * FROM users WHERE username LIKE &#39;%${username}%&#39; ``` #### 2. 应用场景对比 由于上述特性上的差别,这两种占位符适用于不同的场合。 当需要确保安全性并希望让 JDBC 自动处理类型转换时,应该优先考虑使用 `#` 占位符。这通常是在构建查询条件、更新操作等情况下非常适用的选择[^2]。 相反,若确实有必要动态地改变表名或列名等情况(尽管这种情况较为少见),那么此时可以选择使用 `$` 来实现更灵活的功能需求[^4]。不过需要注意的是,在这种情形下务必谨慎对待用户输入的内容,以免引发潜在的安全隐患。 #### 3. 实际应用案例展示 下面通过具体的例子进一步说明两者的区别及其应用场景: ##### 使用 `#` 的情况 假设有一个简单的查询请求,目的是获取指定 ID 的用户信息: ```xml <select id="getUserById" parameterType="int" resultType="User"> SELECT * FROM users WHERE id = #{id}; </select> ``` 这里采用 `#` 方式传递参数,既简单又安全可靠。 ##### 使用 `$` 的情况 再来看另一个复杂一点的例子——分页查询功能实现: ```xml <select id="getUsersByPage" parameterType="map" resultType="User"> SELECT * FROM users LIMIT ${offset},${limit}; </select> ``` 在这个场景里选择了 `${}` 形式的变量替换是因为 MySQL 的 `LIMIT` 子句不允许使用预编译参数形式(`?`)来进行偏移量数量设置;因此只能借助于 `${}` 进行动态注入。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值