MyBatis的#{}占位符和${}拼接符的区别

最新推荐文章于 2024-05-22 01:54:13 发布
原创 最新推荐文章于 2024-05-22 01:54:13 发布 · 1.7k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mybatis # $ #mybatis ##{} ${}

本文详细解析了MyBatis中#与$符号在SQL语句中的不同作用,#被视为预编译参数,能有效防止SQL注入,而$直接插入值,存在安全隐患。文章通过实例对比了两者在参数传递、模糊查询及排序中的应用。

# 对传入的参数视为字符串,会首先对sql语句进行预编译,使用PreparedStatement ,sql语句中有?存在
举个栗子:
select * from user where id = #{id},传入id值为5,sql语句预编译为 select * from user where id = ?
那么传过来的SQL语句就是 select * from user where id = ‘5’;
实例mapper中的sql语句

    <!--    根据主键删除teacher-->
      <delete id="deleteByPrimaryKey" parameterType="java.lang.Long">
        delete from  t_teacher
           where id = #{id,jdbcType = BIGINT}
      </delete>

该语句执行时spring日志打印信息

	==>  Preparing: delete from t_teacher where id = ? 
	==> Parameters: 10(Long)
	<==    Updates: 1

$ 将不会将传入的值进行预编译
select * from user where id = ${id},传入id值为5,
那么传入后的SQL语句就是 select * from user where id = 5;
实例mapper中的sql语句

    <!--    根据主键list删除teacher-->
      <delete id="deleteByPrimaryKeyList" parameterType="java.util.List">
        delete from  t_teacher
            where id in
        <foreach collection="list" item="id" open="(" separator="," close=")">
            ${id}
        </foreach>
      </delete>

该语句执行时spring日志打印信息

	==>  Preparing: delete from t_teacher where id in ( 43 , 44 ) 
	==> Parameters: 
	<==    Updates: 2

# 能在很大程度上防止sql注入,而 $ 则不行。
对于sql语句:select * from user where account = #{account} and password = #{pwd},
如果前台传来的账户名是“a”,密码是 “1 or 1=1”,用#的方式就不会出现sql注入,sql语句为
select * from user where account = ‘a’ and password = ‘1 or 1=1’ 查出account为a,password为1 or 1=1的用户
,而如果换成$方式,sql语句就变成了
select * from user where account = a and password = 1 or 1=1 查出全部用户数据
这样会产生sql注入的情况,比较不安全

MyBatis排序时使用order by 动态参数时需要注意,用$而不是#
在进行模糊查询时,需要进行模糊匹配,采用$可以使用like ‘%${remark}%’ 方法,因为${}不会在

	<!--    根据备注模糊查询teacher-->
    	<select id="selectByRemark" parameterType="java.lang.String" resultMap="BaseResultMap">
        	select <include refid="Base_Column_List"/>
        	from t_teacher
        	where 1 = 1
        	<if test="remark != null and remark != ''">
            	and remark like CONCAT('%',#{teacher.remark},'%')
        	</if>
   		</select>

官方文档
默认情况下,使用 #{} 格式的语法会导致 MyBatis 创建 PreparedStatement 参数占位符并安全地设置参数(就像使用 ? 一样)。 这样做更安全,更迅速,通常也是首选做法,不过有时你就是想直接在 SQL 语句中插入一个不转义的字符串。 比如,像 ORDER BY,你可以这样来使用:

ORDER BY ${columnName}
这里 MyBatis 不会修改或转义字符串。

当 SQL 语句中的元数据(如表名或列名)是动态生成的时候,字符串替换将会非常有用。
如果你想通过任何一列从表中 select 数据时,不需要像下面这样写:

@Select(“select * from user where id = #{id}”)
User findById(@Param(“id”) long id);

@Select(“select * from user where name = #{name}”)
User findByName(@Param(“name”) String name);

@Select(“select * from user where email = #{email}”)
User findByEmail(@Param(“email”) String email);

// and more “findByXxx” method
可以只写这样一个方法:
@Select(“select * from user where ${column} = #{value}”)
User findByColumn(@Param(“column”) String column, @Param(“value”) String value);

mybatis#$使用区别
学无止境
02-27 1223
mybatis#$使用区别
MyBatis#{}${}的深度解析
记录学习的过程
05-07 1094
符号名称官方称谓主要作用#{}井号占位符参数标记(Parameter Marker)预编译参数绑定${}美元符占位符字符串替换(String Substitution)直接字符串替换是否需要动态拼接SQL结构?├─ 是 → 是否涉及用户输入?│ ├─ 是 → 使用白名单校验 + ${}(极度谨慎)│ └─ 否 → 使用${}并确保参数可信└─ 否 → 一律使用#{}
MyBatis#{}${}的区别
weixin_43763697的博客
09-26 385
在SQL语句中,除了关键词、数值、运算符、函数名等非常固定的内容以外,所有内容都会被视为某个名字,例如:表名、字段名或其它自定义的名称(例如索引名等)
9 方法区
积少成多
08-17 685
Java 8 Lambda表达式
Mybatis占位符 #$区别
qq_43185247的博客
12-30 462
印象笔记记录 点我打开笔记
Mybatis#{}与${}占位符
EthanZ001的博客
09-11 407
由于采用了预编译的做法, 所有值都不用考虑数据类型的问题, 例如 , 不需要给字符串类型的值添加一对单引号, 并且, 预编译是安全的,由于不是预编译的, 字符串, 日期等类型的值需要添加一对单引号, 否则, 将被视为字段名, 运算表达式等, 由于是先代入值再执行编译相关流程, 所以, 代入的值是可以改变语义的, 是。这种做法中, ${ }占位符可以表示SQL语句中的任何片段, 只需要保证拼接起来后可以通过编译即可!在Mybatis中, 使用#{ }格式的占位符, 在底层实现时, 会使用。
浅谈Mybatis #$区别以及原理
08-18
Mybatis是一款流行的持久层框架,它提供了两个占位符#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$区别Mybatis中,#$都是占位符,但是它们...
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
MyBatis#{}${}:安全与灵活并存的SQL之道
爱编程的鱼的博客
03-07 1178
#{}​${}​是MyBatis中常用的占位符语法,具有不同的特点应用场景。​#{}​是安全的预编译占位符,适用于动态SQL片段、参数传递防止SQL注入;​${}​是字符串替换占位符,适用于动态表名列名的替换、SQL函数表达式的嵌入。在实际使用中,我们应根据您的要求,文章已经超出了模型的限制,应根据具体的需求情况选择合适的占位符语法,以确保SQL的安全性正确性。
浅谈mybatis中的#$区别
09-02
MyBatis中,`#``$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
forever_2h mybatis占位符#{} ${}
wscrf的博客
03-27 410
#{}占位符用来设置参数,参数的类型可以有3种,基本类型,自定义类型,map基本类型作为参数,参数与占位符中的名称无关。&lt;select id="findById" parameterType="int" resultType="cn.wh.vo.Role"&gt; select * from t_role where id = #{xxxid} &lt;/select...
MyBatis占位符#{}与${}的区别
pan_nworld的博客
07-09 519
MyBatis占位符#{}与${}的区别 1、#{}占位符 语法: #{字符} Mybatis处理#{} 使用jdbc 中的PrepareStatement对象 例: mapper文件: <select id="selectById" parameterType="int" resultType="com.bjpowernode.domain.Student"> select id,name,email,age from student whe
mybatis$#区别以及各自的使用场景
2301_77760093的博客
03-14 2132
MyBatis 中,$ # 都是用于参数绑定的,但它们之间存在明显的差异,主要体现在参数的预处理方式安全性上。
Mybatis#$区别
热门推荐
伏颜的博客
07-11 2万+
Mybatis#$区别
Mybatis占位符 ${} and #{} 兄弟二人!
weixin_45925109的博客
04-07 395
{}占位符 可以直接看最后的总结! 介于上篇博客中Mybatis快速入门 增删改查 傻瓜教程!SQL语句中的值是写死在SQL中,而在实际开发中,此处的值往往是用户提交过来的值,因此这里我们需要将SQL中写死的值替换为占位符。 1.查询emp表中指定id的员工信息 <select id="findById" resultType="com.tedu.pojo.Emp"> selec...
mybatis占位符#{} ${}的区别
a201717的博客
09-17 620
mybatis#{} ${} 的区别 #{}表示一个占位符号,通过 #{} 可以实现 preparedStatement 向占位符中设置值,自动进行 java 类型 jdbc 类型转换。#{} 可以有效防止 sql注入。 #{} 可以接收简单类型值或 pojo 属性值。 如果 parameterType 传输单个简单类型值,#{} 括号中可以是 value 或其它名称。 Map...
占位符:#{}$
骑大马挎大刀
11-09 1055
#{}特点: 1.使用的JDBC的PrepareStatement对象,执行sql语句编译一次,效率高. 2.使用的JDBC的PrepareStatement对象,能便面sql注入,sql语句执行更安全. 3.#{}常常作为列值使用的,位于等号的右侧,#{}位置的值数据类型有关,如果#{}中的参数是String,那么调用的其实是PrepareStatement中的setString()方法,并且给值加上引号. ${}特点: 1.${}在语法上#{}几乎是一样的.(现在知道的,区别是在dao接口传一个简单
#{}与${}的区别
weixin_44863976的博客
09-08 1万+
#{}与${}的区别 区别 1. #{} 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符;而${}仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。 2. #{} 解析之后会将String类型的数据自动加上引号,其他数据类型不会;而${} 解析之后是什么就是什么,他不会当做字符串处理。 3...
MyBatis】参数占位符 #{} ${}
关关的博客
05-22 1626
#{}${}区别详解
3. MyBatis #{}${}区别
最新发布
06-13
<think>我们正在讨论MyBatis#{}${}的区别及使用场景。根据引用[1]、[2]、[3]、[4]、[5]的内容,可以总结如下:#{}${}都是MyBatis中用于动态传递参数的符号,但它们的工作机制安全性有本质区别:1.**处理机制不同**:-`#{}`:MyBatis会将SQL中的`#{}`替换为预编译语句中的占位符`?`,然后使用PreparedStatement的参数绑定机制来安全地设置值。这种方式会对传入的参数进行类型处理(如字符串类型会自动加单引号)并转义特殊字符,有效防止SQL注入攻击。-`${}`:MyBatis会直接将`${}`中的内容替换为参数的字符串值(不进行预编译处理)。如果参数是字符串类型,不会自动添加引号,所以需要手动添加单引号。这种方式是简单的字符串替换,存在SQL注入风险。2.**安全性差异**:-使用`#{}`时,由于参数会被预编译,因此可以防止SQL注入。例如,当传入参数为`a&#39;or&#39;1&#39;=&#39;1`时,使用`#{}`会转义单引号,变成`\&#39;`,从而避免非法查询。-使用`${}`时,如果参数值包含恶意SQL片段,会被直接拼接到SQL语句中执行,导致SQL注入风险。3.**适用场景**:-`#{}`适用于绝大多数场景,特别是作为查询条件值(WHERE子句中的值)、INSERT/UPDATE语句中的字段值等需要参数绑定的地方。-`${}`通常用于需要动态指定SQL语句非值部分的情况,例如:-动态排序字段(ORDERBY子句),如:`ORDERBY${columnName}[ASC|DESC]`(引用[1]、[2]、[4])-动态指定表名或列名(非值部分),如:`SELECT*FROM${tableName}`(引用[4])-动态SQL片段(如动态指定GROUPBY字段)4.**性能考虑**:-`#{}`生成的预编译语句可以被数据库缓存重用,提高执行效率。-`${}`每次都会生成新的SQL语句(因为内容可能变化),无法利用预编译缓存,性能略低。5.**使用细节**:-在`${}`中引用字符串类型参数时,需要在XML中手动添加单引号(如`&#39;${name}&#39;`),但这样仍然不安全(引用[5])。建议对用户输入进行严格过滤或避免使用。-在编写LIKE模糊查询时,推荐用`#{}`配合通配符处理(如`LIKECONCAT(&#39;%&#39;,#{keyword},&#39;%&#39;)`或代码中添加`%`),而不是用`${}`(引用[4])。###代码示例对比####安全用法(使用`#{}`)```xml<selectid="selectUser"resultType="User">SELECT*FROMusersWHEREname=#{name}ANDage=#{age}</select>```####动态排序(必须使用`${}`)```xml<selectid="selectUsersOrdered"resultType="User">SELECT*FROMusersORDERBY${orderColumn}${orderDirection}</select>```>⚠️注意:使用`${}`时,应确保参数值来自可信源(如后端枚举值),或进行严格校验。###总结|特性|`#{}`|`${}`||--------------|-------|------------||工作机制|预编译占位符|字符串替换||安全性|高(防注入)|低(有注入风险)||自动添加引号|是|否(需手动)||适用场景|参数值|动态SQL片段(表名/列名/排序)|因此,**在多数情况下优先使用`#{}`;仅当需要动态生成SQL关键字或标识符时(无法用预编译占位符代替),才谨慎使用`${}`**。§§相关问题§§1.如何安全地使用MyBatis动态表名?2.MyBatis中如何预防SQL注入?3.除了#{}${},MyBatis还有哪些动态SQL标签?</think> ### MyBatis中`#{}``${}`的区别及使用场景 #### 一、核心区别 | **特性** | **`#{}`** | **`${}`** | |----------------|-------------------------------------|-------------------------------------| | **处理机制** | 预编译占位符 (`?`) | 字符串直接替换 | | **安全性** | 防止SQL注入(自动转义特殊字符)[^4] | 有SQL注入风险(原样拼接)[^3][^4] | | **引号处理** | 自动添加引号(如字符串类型) | 需手动添加引号(如`&#39;${value}&#39;`) | | **性能** | 预编译语句可复用 | 每次生成新SQL | #### 二、使用场景对比 1. **`#{}` 的适用场景** - **条件值传递**WHERE子句): ```xml SELECT * FROM user WHERE name = #{name} ``` 编译后:`SELECT * FROM user WHERE name = ?`(安全)[^2][^3] - **LIKE模糊查询**(需配合通配符): ```xml SELECT * FROM user WHERE name LIKE CONCAT(&#39;%&#39;, #{keyword}, &#39;%&#39;) ``` - **INSERT/UPDATE操作**: ```xml INSERT INTO user (name, age) VALUES (#{name}, #{age}) ``` 2. **`${}` 的适用场景** - **动态排序字段**ORDER BY): ```xml SELECT * FROM user ORDER BY ${orderField} ASC ``` *若用`#{}`会生成`ORDER BY &#39;name&#39;`(语法错误)* [^1][^4] - **动态表名/列名**: ```xml SELECT * FROM ${tableName} ``` - **固定SQL片段**: ```xml ${"LIMIT 10"} <!-- 直接拼接SQL关键字 --> ``` #### 三、安全性对比(SQL注入示例) ```xml <!-- 危险!传入 `name = "a&#39; OR &#39;1&#39;=&#39;1"` 会导致全部数据泄露 --> SELECT * FROM user WHERE name = &#39;${name}&#39; <!-- 安全!参数会被转义为: `a\&#39; OR \&#39;1\&#39;=\&#39;1` --> SELECT * FROM user WHERE name = #{name} ``` > 💡 **结论**:`${}`需要**严格校验输入**(如只允许枚举值),否则应避免使用[^4][^5]。 #### 四、性能影响 - `#{}` 生成的预编译语句可被**数据库缓存重用**,尤其在高并发时性能更优[^3] - `${}` 每次生成**全新SQL语句**,增加数据库解析开销 ### 最佳实践总结 1. **默认优先使用`#{}`**:适用于>95%的场景(值传递) 2. **谨慎使用`${}`**:仅用于**动态表名/列名、排序字段**等非值场景[^1][^4] 3. **防御措施**: - 对`${}`参数做**白名单校验**(如只允许特定字段名) - 避免直接拼接用户输入(如`ORDER BY ${userInput}`) ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值