mybatis中#与$的区别

最新推荐文章于 2025-10-29 11:12:05 发布
原创 最新推荐文章于 2025-10-29 11:12:05 发布 · 321 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了MyBatis中#与$符号在SQL参数处理上的不同之处,包括它们如何影响SQL生成及安全性,强调了#对于防止SQL注入的重要作用。

MyBatis/Ibatis中#和$的区别


1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by

#user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是

id,则解析成的sql为order by "id".

2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那

么解析成sql时的值为order by user_id,  如果传入的值是id,则解析成的sql为order by

id.

3. #方式能够很大程度防止sql注入。

4.$方式无法防止Sql注入。

5.$方式一般用于传入数据库对象,例如传入表名.

6.一般能用#的就别用$.


ps:在使用mybatis中还遇到<![CDATA[]]>的用法,在该符号内的语句,将不会被当成字符串

来处理,而是直接当成sql语句,比如要执行一个存储过程。

makerule
关注
【编程基础知识】Mybatis#$两种参数替换符合有啥区别
Dylaniou的博客
09-09 409
Mybatis#$两种参数替换符合有啥区别
MyBatis#$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 2049
#{}${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
Mybatis$#区别
青衣醉酒
10-27 728
1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'. 2 $是将传入的数据直接显示生成sql语句,eg:select id,name,age from student wher...
mybatis#{}${}的区别
Lyuuku爱吃苹果
02-11 602
1. 概念 #{}${}都可以传输数据,两者的差异是编译的时期不一样 #{}是一次编译,后续每次调用只是传递一个参数进去${}是每次都会编译,传递进去的数据会当做sql语句一起编译 2. sql语句的编译 sql语句编译有两种形式,即statementPrepareStatement两种 2.1 Statement statement每次执行语句都要重新编译一次
Mybatis# $区别
m0_64630668的博客
10-29 508
特性#{}${}处理方式预编译,替换为?占位符直接字符串替换,拼接 SQL安全性防 SQL 注入(安全)存在 SQL 注入风险(不安全)参数类型自动加引号(字符串类型)需手动加引号(字符串类型)适用场景大多数参数传递(用户输入)动态 SQL 结构(表名、排序字段等)最佳实践:优先使用#{},仅在必须动态拼接 SQL 结构时使用${},且务必对${}的参数进行严格校验(如白名单限制)。
mybatis ${ } #{ } 的区别
Hao_JunJie的博客
04-03 274
动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 1 .#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号 而 $将传入的数据直接显示生成在sql中 例如: (1...
MyBatis$#区别
浅丶巷
01-04 359
1. #是将传入的值当做字符串的形式,如:selectid,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于selectid,name,age from student where id ='1'。2. $是将传入的数据直接显示生成sql语句,如:selectid,name,age from student where id...
Mybatis$ #区别
一盏小灯下
12-11 197
#’ 是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把 id 值1,传入到后台的时候,就相当于 select id,name,age from student where id = ‘1’. ‘$’ 是将传入的数据直接显示生成 sql 语句,eg: select id...
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$区别 在...
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis中的#$区别
09-02
MyBatis中,`#``$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis$#区别
qq_30667039的博客
02-26 2633
经常碰到这样的面试题目:#{}${}的区别是什么? 1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id =‘1’. 2 是将传入的数据直接显示生成sql语句,eg:selectid,n...
MyBatis#{}${}的区别
m0_67683346的博客
02-28 5405
MyBatis#{}${}的区别
Mybatis#{}${}的区别
热门推荐
宜春
07-24 4万+
mybatis中动态 sql 是其主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在执行操作之前 mybatis 会对其进行动态解析。mybatis 提供了两种支持动态 sql 的语法:#{} 以及 $ {},其最大的区别则是#{}方式能够很大程度防止sql注入(安全),${}方式无法防止Sql注入。什么??不懂什么是Sql注入?额。。。Sql注入指的是程序解析时会将你传入的参...
Mybatis#$区别
伏颜的博客
07-11 2万+
Mybatis#$区别
MyBatis-#{}${}的区别
weixin_43472934的博客
08-05 226
OGNL语言 在MyBatis框架中支持两种 OGNL语法 #{} ${} 第一种情况对比:添加数据 #{} --UserMapper.java @Insert("insert into user(username,password,age) values(#{username},#{password},#{age})") @Options(useGeneratedKeys = true,keyColumn = "id",keyProperty = "id") int insertUserInfo(U
mybatis#$区别
最新发布
01-03
MyBatis 中,`#` `$` 都用于在 SQL 语句中进行变量替换,但它们存在一些区别: - **参数传递类型**: - `#`:可传递任意类型的参数,包括普通类型(8 大基本数据类型、8 大包装类 String)对象。当传递普通类型时,正常发送的 SQL 语句会以占位符形式呈现,如 `SELECT * FROM t_student WHERE id=?`;传递对象时同样如此 [^2]。 - `$`:只能取对象中的值,传递普通类型时会报错,无法取值。当传递对象时,会将传入的数据直接显示生成在 SQL 中,例如 `order by $user_id$`,若传入的值是 `111`,解析成 SQL 时为 `order by user_id`;若传入的值是 `id`,解析成的 SQL 为 `order by id` [^2][^4]。 - **SQL 注入风险**: - `#`:取值可以有效防止 SQL 注入,因为它是通过预编译的方式将参数传递给数据库,参数会被当作一个字符串处理,而不是 SQL 的一部分 [^2]。 - `$`:取值是 SQL 拼接,不能有效防止 SQL 注入,因为它会将传入的数据直接拼接到 SQL 语句中,若传入恶意的 SQL 代码,可能会导致 SQL 注入攻击 [^2]。 - **预编译支持性能**: - `#`:取值让 SQL 语句支持预编译的功能,数据库可以对 SQL 语句进行缓存优化,提高执行效率,性能较高 [^2]。 - `$`:不支持预编译,每次执行 SQL 时都需要重新解析编译,性能相对较低 [^2]。 - **使用场景**: - `#`:一般用于取值操作,是 MyBatis 中最常用的参数传递方式 [^2]。 - `$`:一般用于动态排序、动态表名等场景,因为在这些场景中需要动态生成 SQL 语句的一部分 [^2]。 以下是使用示例: ```xml <!-- 使用 # 取值 --> <select id="selectStudentById" parameterType="int" resultType="Student"> SELECT * FROM t_student WHERE id = #{id} </select> <!-- 使用 $ 进行动态排序 --> <select id="selectStudentsOrderBy" parameterType="String" resultType="Student"> SELECT * FROM t_student ORDER BY ${sortColumn} </select> ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值