mybatis中#{}和${}的区别

最新推荐文章于 2025-01-11 13:36:08 发布
原创 最新推荐文章于 2025-01-11 13:36:08 发布 · 857 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

对于#{}和${}的区别,需要了解什么是预编译,下面是关于sql预编译的概念
一、sql预编译

1.定义:

    sql 预编译指的是数据库驱动在发送 sql 语句和参数给 DBMS 之前对 sql 语句进行编译,这样 DBMS 执行 sql 时,就不需要重新编译。

2. 预编译的有点:

  (1)效率性:预编译可以尽可能的提高访问数据库的性能,我们都知道数据库在处理SQL语句时都有一个预编译的过程,而预编译对象就是把一些格式固定的SQL编译后,存放在内存池中即数据库缓冲池,当我们再次执行相同的SQL语句时就不需要预编译的过程了,只需DBMS运行SQL语句。所以当你需要执行拼接语句多次的时候,预编译语句将会大大降低运行时间,特别是的大型的数据库中,它可以有效的也加快了访问数据库的速度。

  (2)预编译语句提高了代码的可读性和安全性。

二、区别:
Mybatis 的Mapper.xml语句中parameterType向SQL语句传参有两种方式:#{}和${}
1.#{}:

#{}这种方式SQL语句是经过预编译的,可以防止SQL注入,安全性高,它是把#{}中间的参数转义成字符串,如:

INSERT INTO student(ID,account,password,truename) 
	  VALUES(#{id},#{account},#{password},#{truename})
预编译后,会动态的解释成一个参数标记符"?",整个代码变成如下代码: 


INSERT INTO student(ID,account,password,truename) 
	  VALUES(?,?,?,?)

2.${}:

${}相当于拼接符,不安全,不可以防止注入,使用${}在动态解释的时候,会传递参数字符串,如以下代码

INSERT INTO student(ID,account,password,truename) 
	  VALUES(${id},'${account}','${password}','${truename}'
如果id为123,account为zhangsan,password为123456,truename为张三,那么它相当于 
INSERT INTO student(ID,account,password,truename) 
	  VALUES(123,'zhangsan','123456','张三'

综上所述,${ } 变量的替换阶段是在动态 SQL 解析阶段,而 #{ }变量的替换是在 DBMS 中。

这是 #{} 和 ${} 我们能看到的主要的区别,除此之外,还有以下区别:

  • #方式能够很大程度防止sql注入。
  • $方式无法防止Sql注入。
  • $方式一般用于传入数据库对象,例如传入表名.
  • 一般能用#的就别用$.

MyBatis中的#$有什么区别
关注我!带你一路 "狂飙" 到底!
02-08 4962
MyBatis是一款优秀的持久层框架,特别是在国内(国外据说还是 Hibernate 的天下)非常的流行,我们常说的SSM组合中的M指的就是MyBatisMyBatis支持定制化SQL、存储过程以及高级映射等多种特性,单纯从代码上来看,MyBatis避免了几乎所有的JDBC代码手动设置参数以及手动处理结果集。而且MyBatis的使用也非常方便,可以通过简单的XML或注解来配置映射数据信息。对MyBatis不熟悉的小伙伴,可以私信百泽老师,我们有免费的MyBatis手把手教学视频送给你哦~
MyBatis#{}${}
2502_92141759的博客
10-07 968
特性#{}${}处理方式预编译,替换为?直接字符串拼接SQL 注入风险无(安全)有(危险)类型处理自动添加引号类型转换不处理,需手动添加引号适用场景大多数参数传递(条件、值等)动态 SQL 结构(表名、排序等)
MyBatis${} #{}的正确使用方法(千万不要乱用)
08-18
主要介绍了MyBatis${} #{}的正确使用方法,本文给大家提到了MyBatis${} #{}的区别,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
MyBatis#{}${}的区别
weixin_49503033的博客
10-25 262
MyBatis#{}${}的区别 #{}:占位符 1.为参数占位符 ?,即sql 预编译 ; 2.动态解析 -> 预编译 -> 执行; 3.#{} 的变量替换是在DBMS 中; 4.变量替换后,#{} 对应的变量自动加上单引号 5.#{} 能防止sql 注入 ${}:占位符 1.为字符串替换,即 sql 拼接; 2.动态解析 -> 编译 -> 执行; 3.$ {}的变量替换是在DBMS 外; 4.变量替换后,$ {} 对应的变量不会加上单引号 ‘’; 5.${} 不能防止s
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$区别 在...
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis中的#$区别
09-02
MyBatis中,`#``$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
【编程基础知识】Mybatis#$两种参数替换符合有啥区别
Dylaniou的博客
09-09 409
Mybatis#$两种参数替换符合有啥区别
MyBatis#$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 2052
#{}${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
MyBatisMyBatis#{ } ${ }的区别
啊松同学的博客
01-11 1243
Mybatis#{ }${ }的区别
MyBatis#{}与${}的区别
qq_55961709的博客
05-05 268
MyBatis#{}与${}的区别
mybatis中的#$区别
热门推荐
Howard的博客
09-22 3万+
简介     MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置映射原生信息,将接口 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。      动态 sql
java面试题 Mybatis#$区别
樂小伍
10-16 1269
Mybatis#$区别 https://www.cnblogs.com/wslook/p/9185448.html #{}:占位符号,可以防止sql注入(替换结果会增加单引号‘’),相当于 ? 占位符 ${}:sql拼接符号(替换结果不会增加单引号‘’,likeorder by后使用,存在sql注入问题,需手动代码中过滤) 能使用 #{ } 的地方就用 #{ } 首先这是为了性能考虑...
Mybatis#{}${}的区别
Lqf111的博客
10-06 662
1,#{}是占位符,预编译处理;${}是拼接符,单纯的字符串替换,没有预编译处理。 2,Mybatis在处理#{}时,#{}传入参数是以字符串传入,会将SQL中的#{}替换为?,调用PreparedStatement的set方法来赋值。 3,Mybatis在处理${}时是原值传入的,就是把{}中的内容替换成变量的值,相当于JDBC中的Statement编译。 4,变量替换后,#{}对应的变量会自动加上单引号;${}对应的变量不会加上单引号。 5,#{}可以有效的防止SQL注入,提高系统的安全性。
#{}${}的区别是什么?
yangAugust的博客
11-29 639
a、#{}是预编译处理,${}是字符串替换。 b、Mybatis 在处理#{}时,会将 sql 中的#{}替换为?号,调用 PreparedStatement 的 set 方法来赋值; c、Mybatis 在处理时,就是把{}时,就是把时,就是把{}替换成变量的值。 d、使用#{}可以有效的防止 SQL 注入,提高系统安全性。 ...
mybatis中的#{}${}的区别
所有文章都可以查看。如果发现需要VIP才能看的文章,请留言,可能是发布的时候手抖了。
05-21 4081
1. 取值范围不同 MyBatis既可以获取执行SQL时插入的请求参数,也可以从主配置文件加载的配置文件中获取配置参数。 #{}只能获取请求参数的值,无法获取配置参数。 ${}在MyBatis初始化时能获取配置参数,如果没有,执行时再获取请求参数。 2. 处理方式不同 #{} 如果SQL中只有#{}或者可以被配置参数替换的${},那么在初始化时#{}就被解析成了占位符?。 如果SQL中有动态标签(例如if,where),或者无法被配置参数替换的${},那么#{}在执行SQL时才会被替换成占位符?。#{}的
mybatis#$区别
最新发布
01-03
MyBatis 中,`#` `$` 都用于在 SQL 语句中进行变量替换,但它们存在一些区别: - **参数传递类型**: - `#`:可传递任意类型的参数,包括普通类型(8 大基本数据类型、8 大包装类 String)对象。当传递普通类型时,正常发送的 SQL 语句会以占位符形式呈现,如 `SELECT * FROM t_student WHERE id=?`;传递对象时同样如此 [^2]。 - `$`:只能取对象中的值,传递普通类型时会报错,无法取值。当传递对象时,会将传入的数据直接显示生成在 SQL 中,例如 `order by $user_id$`,若传入的值是 `111`,解析成 SQL 时为 `order by user_id`;若传入的值是 `id`,解析成的 SQL 为 `order by id` [^2][^4]。 - **SQL 注入风险**: - `#`:取值可以有效防止 SQL 注入,因为它是通过预编译的方式将参数传递给数据库,参数会被当作一个字符串处理,而不是 SQL 的一部分 [^2]。 - `$`:取值是 SQL 拼接,不能有效防止 SQL 注入,因为它会将传入的数据直接拼接到 SQL 语句中,若传入恶意的 SQL 代码,可能会导致 SQL 注入攻击 [^2]。 - **预编译支持性能**: - `#`:取值让 SQL 语句支持预编译的功能,数据库可以对 SQL 语句进行缓存优化,提高执行效率,性能较高 [^2]。 - `$`:不支持预编译,每次执行 SQL 时都需要重新解析编译,性能相对较低 [^2]。 - **使用场景**: - `#`:一般用于取值操作,是 MyBatis 中最常用的参数传递方式 [^2]。 - `$`:一般用于动态排序、动态表名等场景,因为在这些场景中需要动态生成 SQL 语句的一部分 [^2]。 以下是使用示例: ```xml <!-- 使用 # 取值 --> <select id="selectStudentById" parameterType="int" resultType="Student"> SELECT * FROM t_student WHERE id = #{id} </select> <!-- 使用 $ 进行动态排序 --> <select id="selectStudentsOrderBy" parameterType="String" resultType="Student"> SELECT * FROM t_student ORDER BY ${sortColumn} </select> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值