mybatis中${}与#{}的区别

最新推荐文章于 2023-07-25 11:15:00 发布
原创 最新推荐文章于 2023-07-25 11:15:00 发布 · 364 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

在项目中遇到easyui排序问题,发现与mybatis中${}和#{}}的使用有关。${}将参数直接拼接在SQL中,不进行预编译处理,而#{}}将参数转化为PreparedStatement参数,能防止SQL注入。

今天在项目中使用easyui传递排序字段进行排序,但是一直无法成功,数据依然是未排序的结果。

		if (sort != null && order != null) {
			String[] sorts = sort.split(",");
			String[] orders = order.split(",");
			String orderbys = "";
			for (int i = 0; i < orders.length; i++) {
				orderbys = sorts[i] + " " + orders[i] + ",";
			}
			orderbys = orderbys.substring(0, orderbys.length() - 1);
			map.put("orderbys",orderbys.split(","));
		}
因为使用的是多条件排序,所以使用一个数组存放,例如数组为:[sid asc, urlname desc, sitename desc ]

mybatis中使用foreach进行循环:

		<if test="orderbys != null">
			ORDER BY 
			<foreach collection="orderbys" index="index" item="item" separator=",">
				#{item}
			</foreach>
		</if>
使用上面逻辑得到的sql语句是:

ORDER BY 'sid asc', 'urlname desc', 'sitename desc'


此为#{}与${}之间的区别,使用${}:

		<if test="orderbys != null">
			ORDER BY 
			<foreach collection="orderbys" index="index" item="item" separator=",">
				${item}
			</foreach>
		</if>

sql语句为:

ORDER BY  sid asc, urlname desc, sitename desc

#{}获取的数据转为一个字符串,使用 ' ' 包裹,而${}获取的数据不做任何处理。




新人一看就懂: #{} 和 ${} 的区别
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
18.<Mybatis补充($#区别+数据库连接池)>
m0_73456341的博客
10-23 2072
详解了 1.$#区别 2.数据库连接池。 3.简单了解MySQL企业开发规范
Mybatis#{}和${}的区别
个人博客
09-07 1156
一、结论   #{}:占位符号,好处是防止sql注入。   ${}:sql拼接符号。 二、具体分析   动态 SQL 是 mybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } ...
$ #
weixin_30338497的博客
11-01 318
$ #这两个符号区别在当时上课的时候怕是人人都记得的,但却没用过,这次刚好有个典型的例子就吧他记录下来吧。 <update id="updateBusiness"> UPDATE ${param1} SET ${param2} = '' WHERE id = #{param3} </update&g...
mybatise的$#区别
weixin_41705834的博客
05-24 450
1.#̲会将传入的数据解析成一个字符串…会将传入的数据直接显示在Sql语句中 如:select name,age from t_user where id = #{userId},传入参数111,则将sql解析为 select name,age from t_user where id = “111” select name,age from t_user where id = ${userId},传入参数111,则将sql解析为 select name,age from t_user where id =
#{}和${}
m1234ilu的博客
11-06 792
#{}表示一个占位符号,通过#{}可以实现preparedStatement向占位符中设置值,自动进行java类型和jdbc类型转换。#{}可以有效防止sql注入。 #{}可以接收简单类型值或pojo属性值。 如果parameterType传输单个简单类型值,#{}括号中可以是value或其它名称。 ${}表示拼接sql串,通过${}可以将parameterType 传入的内容拼接在sql中且不...
MyBatis${}和 #{}的正确使用方法(千万不要乱用)
08-18
MyBatis框架中,${} 和 #{} 是两种不同的参数占位符,它们的使用方式和作用有明显的区别,对于SQL语句的安全性和效率有着重要影响。 1. #{} #{} 是预编译处理的方式,也被称为参数绑定或者预处理。在处理 #{ } ...
Mybatis下动态sql中##$$区别讲解
08-26
Mybatis下动态sql中##$$区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis中,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis中,使用...
Mybatis$#区别, $的应用场景
04-23
Mybatis$#都用于动态SQL语句中的参数绑定,但它们之间有几个区别: 1. #用于预编译,$用于值传递。#会将参数放入预编译语句中的占位符中,可以避免SQL注入,但会使SQL语句无法重用;$将参数直接拼接进SQL中,...
MyBatis中使用$#所遇到的问题及解决办法
09-01
1. #{}${}的区别: - #{ }:这是MyBatis中的预编译参数标记,它会将参数转化为PreparedStatement的参数占位符,类似于Java中的`?`。当MyBatis遇到`#{ }`时,它会将参数值转化为PreparedStatement的参数,这样...
MyBatis#{}和${}的区别
weixin_43763697的博客
09-26 385
在SQL语句中,除了关键词、数值、运算符、函数名等非常固定的内容以外,所有内容都会被视为某个名字,例如:表名、字段名或其它自定义的名称(例如索引名等)
$#区别
zzjvslove的博客
09-20 717
比如说一条SQL语句 select * from user where id=${id} and username=#{username} 在经过编译后,得到如下语句 select * from user where id=2 and username=? 通过以上SQL语句看出,经过编译后 如果是#{}的形式是编译成?,而如果${}是编译成直接的数据。 区别#{}: 是
$ #区别
weixin_44065214的博客
07-07 719
mybatis中写sql语句时,$能够防止sql注入问题,而#不能防止sql注入。 原因:在用$写的sql语句中,会差生预编译的效果,传入进去的值则只会当做所对应的字段的值被填充到sql语句中(参数中如果传入sql语句中的关键字,也能被正常执行),然而用#编写的sql语句没有进行预编译的过程,从而在sql语句执行的时候就只会把出入进入的值当做简单的字符串的拼接(参数中如果传入sql语句中的关键字...
#$区别
薛定谔的猫的博客
07-25 2622
预编译处理:Mybatis在处理#{}时候,会将SQL中的#{}转换为?,使⽤ PreparedStatement 的 set ⽅法来赋值。直接替换:是MyBatis 在处理 ${} 时,就是把 ${} 替换成变量的值。
#$区别
weixin_44108717的博客
09-21 2996
推荐能使用#就不要使用 $ a.#{ } 1.相当于JDBC中的PreparedStatement ,是经过预编译的,安全 2.会为参数自动拼接引号 3.执行sql效果 select * from user where uid="1" and username="cathy" b.${ } 1.相当于JDBC中的Statement ,未经过预编译,非安全,存在sql注入危险 2.并不会给参数自动...
#$区别
qq_41167882的博客
04-21 6245
他们之间的区别用最直接的话来说就是:#相当于对数据 加上 双引号,$相当于直接显示数据。 1、#对传入的参数视为字符串,也就是它会预编译 select * from user where name = #{name} 比如我传一个csdn,那么传过来就是 select * from user where name = 'csdn' 2、$将不会将传入的值进行预编译 select * from ...
${}和#{}的区别
Micky的博客
12-18 2406
第一种解释: 原sql语句: &lt;span style="font-size:18px;"&gt;delete from   ups_role_permission_dataparams   where role_id = #{roleId,jdbcType=INTEGER}&lt;/span&gt;   在这里用到了#{},使用#时: 1、用来传入参数,sql在解析的时候会加上" ...
【ibatis】ibatis 中 $#区别
龙腾四海365的专栏
04-06 1751
ibatis 中 $#区别 我们在使用iBATIS时会经常用到#$这两个符号。 一 .#$区别说通俗一点就是          $中间的变量就是直接替换成值的          #会根据变量的类型来进行替换          比如articleTitle的类型是string, 值是"标题"的时候               $articleTitle$ = 标题
mybatis$#区别
最新发布
10-25
MyBatis中,`$`和`#`是两个特殊的字符,它们在动态SQL生成中有重要的作用: 1. `$`: 这是MyBatis的传统方式(即JDBC预编译语句的遗留支持),在动态SQL表达式中用于引用参数的值。当你在mapper XML文件中直接写 `${parameterName}`,它会被替换为传入的参数值。例如: ```xml <select id="selectUser" parameterType="map" resultType="User"> SELECT * FROM user WHERE name = #{name} </select> ``` 2. `#`: 这种形式是MyBatis 3.3及以上版本推荐使用的,特别是在Spring Boot集成时,它可以更好地避免SQL注入攻击,因为MyBatis会将`#{}`视为一个表达式,并通过EL(Expression Language)引擎去解析和安全地传递参数值。这种写法更安全且易于维护。同样地: ```xml <select id="selectUser" parameterType="User" resultType="User"> SELECT * FROM user WHERE name = #{name} </select> ``` 在上述XML中,`#name`会被Spring EL引擎解析成对应的请求参数值。 总结来说,`$`在老版本中使用较多,而`#`不仅提供了更好的安全特性,还兼容了更多现代的依赖和框架。使用`#`时,参数的类型信息会保存在Mapper的参数映射中,有助于MyBatis性能优化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值