mybatis 参数为list时,校验list是否为空, mybatis ${}与#{}的区别

最新推荐文章于 2025-11-19 08:45:00 发布
原创 最新推荐文章于 2025-11-19 08:45:00 发布 · 10w+ 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mybatis #java

一、参数list时,先判断是否为空,否则会报错。

二、mybatis ${}与#{}的区别

简单来说#{} 解析的是占位符?可以防止SQL注入, 比如打印出来的语句 select * from table where id=?
然而${} 则是不能防止SQL注入打印出来的语句 select * from table where id=2  实实在在的参数。
最简单的区别就是${}解析穿过来的参数值不带单引号,#{}解析传过来参数带单引号。

最后总结一下必须使用$引用参数的情况,那就是参数的int型的时候,必须使用$引用。



Java 借助 MyBatis 实现数据校验验证
欢迎来到我的优快云空间!这里聚焦AI大模型应用实战,分享前沿技术、实战案例与开发经验。
04-12 870
本文旨在为Java开发者提供一套完整的MyBatis数据校验验证解决方案。我们将覆盖从简单的字段非检查到复杂的业务规则验证,以及如何将这些验证逻辑优雅地集成到MyBatis的工作流程中。文章首先介绍MyBatis的核心概念数据验证的关系,然后深入各种验证技术的实现细节,最后通过实际案例展示完整解决方案。MyBatis:一个优秀的持久层框架,支持定制化SQL、存储过程以及高级映射数据校验(Validation):确保数据符合预定规则的过程数据验证(Verification)
mybatis 遍历list集合以及条件判断
韩猿外的博客
02-09 9465
一、条件判断案例 <if test="userIds != null and userIds.size > 0"> AND user_id in   <foreach collection="userIds" item="userId" open="(" separator="," close=")"> #{userId} </foreach> </if> 二、遍历集合   1、使用@Param注解 public voi
mybatis判断list是否
Meditation_Crazy
11-30 1万+
前言 <if test="list!= null and list.size()>0" > and s.orderstatus in <foreach collection="list" item="item" open="(" close=")" separator="," > #{item} </foreach> </if>
Mybatis:详细学习笔记
最新发布
weixin_46619605的博客
11-19 628
Mybatis:详细学习笔记
mybatis怎样判断list是否
热门推荐
dxyzhbb的博客
06-20 6万+
一、参数list,先判断是否,否则会报错。 二、mybatis ${}#{}的区别 简单来说#{} 解析的是占位符?可以防止SQL注入, 比如打印出来的语句 select * from table where id=?然而则是不能防止SQL注入打印出来的语句select∗ fromtablewhereid=2实实在在的参数。最简单的区别就是{} 则是不能防止SQL注入打印出来的语句 se...
mybatis判断list不为
我的博客
11-07 1564
mybatis判断list不为
mybatis   list 传参判方法
gm371200587的博客
02-01 1969
mybatis list 传参判方法:参数对象使用size方法
18.<Mybatis补充($#区别+数据库连接池)>
m0_73456341的博客
10-23 2102
详解了 1.$#区别 2.数据库连接池。 3.简单了解MySQL企业开发规范
MyBatis - #{} 和 ${}
m0_74859835的博客
09-21 983
mybatis - #{ } 和 ${ } 的使用区别,预编译SQL 和 即SQL 的优缺点,及SQL注入问题
MyBatis#{}和${}的深度解析
记录学习的过程
05-07 1128
符号名称官方称谓主要作用#{}井号占位符参数标记(Parameter Marker)预编译参数绑定${}美元符占位符字符串替换(String Substitution)直接字符串替换是否需要动态拼接SQL结构?├─ 是 → 是否涉及用户输入?│ ├─ 是 → 使用白名单校验 + ${}(极度谨慎)│ └─ 否 → 使用${}并确保参数可信└─ 否 → 一律使用#{}
MyBatis#{}和${} | 数据库连接池
不能再留遗憾了的博客
01-09 2911
MyBatis中最常见的面试题——#{}和${}的区别,数据库连接池
MyBatis传入集合 list 数组 map参数的写法
09-02
主要介绍了MyBatis传入集合 list 数组 map参数的写法的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
mybatis判断list集合不为
qq_41854180的博客
01-04 3407
<if test="assetIds != null and assetIds.size > 0"> and id in <foreach collection="assetIds" index="index" item="item" open="(" separator="," close=")"> #{item} </foreach> </if>
MyBatis的XML配置:如何判断List并遍历拼接
木头大左的博客
04-07 3513
哈喽,大家好,我是木头左!大家好,欢迎来到我的博客!今天要聊一聊关于MyBatis的XML配置,如何在查询数据表判断List是否,并进行遍历拼接。相信这个问题对于很多使用MyBatis的朋友来说都非常实用,所以请大家认真阅读哦!
mybatis判断两个集合是否
RodJohnson_523391的专栏
07-12 1560
[quote]在工作中遇到mybatis判断两个集合是否,不为的话遍历;都为执行 1=0 or 1=0,则查询出来集合 select login,name,email from users u where email in #{email, jdbcType=VARCHAR} ...
mybatis 的xml中判断 对象参数中的list 是否
qq_33192454的博客
07-17 2194
MyBatis 的 XML 配置文件中,可以使用<if>标签和 OGNL 表达式来判断传入的对象参数中的List是否。以下是一个示例,展示如何在 MyBatis 的 XML 配置文件中检查对象参数中的List是否,并根据检查结果执行不同的 SQL 逻辑。假设有一个名为User的对象,其中包含一个类型的属性ids。
mybatis判断接收参数list长度数组长度
qq1067012060的博客
02-12 1944
今天做项目突然在mybatis的配置文件中使用到了list作为参数,发现判断list的长度报了错,才发现应该使用size()方法。记录一下希望你们能解决遇到的问题。
MyBatis中传递数组参数List参数if-test判判断长度的写法
BADAO_LIUMANG_QIZHI的博客
07-30 1万+
场景 前端传递一个部门id的数组作为查询条件查询部门id在这个数组中的数据。 在MyBatis的xml中获取到了这个数组参数后怎样进行if-test的判长度判断。 注: 博客:https://blog.youkuaiyun.com/badao_liumang_qizhi 关注公众号 霸道的程序猿 获取编程相关电子书、教程推送免费下载。 实现 在mapper接口层传递数组参数 public List<KqDksz> selectKqDkszListBySx(@Param("array".
mybatis $#有什么区别
11-12
<think>我们在使用MyBatis,经常会看到动态SQL中用到`#{}`和`${}`两种占位符。它们的主要区别在于参数替换的方式和安全性。 1. `#{}`: 是预编译处理,MyBatis会将`#{}`替换为`?`,然后使用PreparedStatement的set方法来赋值,可以有效防止SQL注入,适用于传入参数值。 2. `${}`: 是字符串替换,MyBatis会将`${}`替换为变量的实际值,相当于直接拼接SQL字符串,存在SQL注入风险,一般用于传入SQL片段(如表名、列名等动态变化的部分)。 举例说明: 假设我们有一个查询:`select * from user where name = #{name}` 实际执行MyBatis会生成:`select * from user where name = ?`,然后通过PreparedStatement的setString(1, name)来设置参数。 而如果使用:`select * from user where name = ${name}` 如果传入的name是`&#39;John&#39;`,那么实际执行的SQL为:`select * from user where name = &#39;John&#39;`。 但如果传入的name是`&#39; or 1=1 -- `,那么使用`${}`就会导致SQL注入:`select * from user where name = &#39;&#39; or 1=1 -- &#39;`,从而查询到所有数据。 因此,一般规则是: - 能用`#{}`的地方尽量用`#{}` - 对于表名、列名等无法使用预编译的地方,使用`${}`,但需要对外部输入进行严格的校验和过滤。 下面是一个简单的代码示例,展示MyBatis中两种占位符的用法: 假设有一个Mapper接口: ```java public interface UserMapper { // 使用#{}安全地传入参数 @Select("SELECT * FROM users WHERE name = #{name}") List<User> findByName(@Param("name") String name); // 使用${}动态指定表名(注意:这里存在SQL注入风险,应谨慎使用) @Select("SELECT * FROM ${tableName} WHERE name = #{name}") List<User> findByTableAndName(@Param("tableName") String tableName, @Param("name") String name); } ``` 在第二个方法中,表名是通过`${tableName}`传入的,因此我们需要确保`tableName`的值是安全的(例如,只能是预定义的表名之一)。而`#{name}`则是安全地传入参数。 总结: - `#{}`:预编译,安全,防SQL注入,适用于参数值。 - `${}`:字符串替换,不安全,有SQL注入风险,适用于动态表名、列名等。 §§相关问题§§: 1. MyBatis中`#{}`和`${}`的主要区别是什么? 2. 为什么使用`#{}`可以防止SQL注入? 3. 在什么情况下必须使用`${}`? 4. 如何在使用`${}`防范SQL注入攻击? </think>在 MyBatis 中,`#{}` 和 `${}` 是两种不同的参数占位符,它们的主要区别在于**参数处理方式**和**安全性**,以下是详细对比: --- ### **1. `#{}`(推荐使用)** - **原理**: 使用 `PreparedStatement` 预编译 SQL(即 JDBC 的 `?` 占位符),参数值会被安全地转义处理。 - **安全性**: 天然防止 SQL 注入攻击。 - **适用场景**: 传递**参数值**(如 WHERE 条件值、INSERT/UPDATE 值)。 - **示例**: ```sql SELECT * FROM users WHERE name = #{name} ``` ```java // 实际执行参数值被转义): SELECT * FROM users WHERE name = &#39;Alice&#39; ``` --- ### **2. `${}`(谨慎使用)** - **原理**: 直接替换为字符串(文本替换),无预编译或转义。 - **安全性**: 存在 SQL 注入风险! - **适用场景**: 动态拼接 **SQL 片段**(如表名、列名、动态排序字段等)。 - **示例**: ```sql SELECT * FROM ${tableName} ORDER BY ${sortField} ``` ```java // 实际执行(直接替换字符串): SELECT * FROM users ORDER BY create_time ``` --- ### **关键区别总结** | 特性 | `#{}` | `${}` | |--------------|--------------------------------|--------------------------------| | **处理方式** | 预编译(`?` 占位符) | 字符串直接替换 | | **安全性** | ✅ 防 SQL 注入 | ❌ 有 SQL 注入风险 | | **常见用途** | 传递参数值 | 动态 SQL 片段(表名、列名等) | | **性能** | 相同(预编译后均可复用执行计划) | 相同 | --- ### **为什么 `${}` 有 SQL 注入风险?** 假设动态传入表名: ```sql SELECT * FROM ${tableName} ``` 如果外部传入 `tableName = "users; DROP TABLE users--"`,最终 SQL 会变成: ```sql SELECT * FROM users; DROP TABLE users-- ``` 这将直接删除表!而 `#{}` 会将整个字符串视为表名值(语法错误),不会执行破坏性操作。 --- ### **最佳实践** 1. **99% 的场景用 `#{}`**: 传递条件值、字段值等。 2. **谨慎使用 `${}`**: 仅在动态表名/列名等**非值参数**使用,且必须手动校验参数合法性(如白名单校验)。 ```java // 示例:安全使用 ${}(校验表名合法性) public List<User> getUsers(@Param("table") String table) { if (!Arrays.asList("users", "admins").contains(table)) { throw new IllegalArgumentException("Invalid table name"); } return sqlSession.selectList("getUsersByTable", table); } ``` --- ### **代码示例** ```java // Mapper 接口 public interface UserMapper { // 安全:使用 #{} 传递参数值 @Select("SELECT * FROM users WHERE name = #{name}") List<User> selectByName(@Param("name") String name); // 动态排序(需谨慎校验 sortField) @Select("SELECT * FROM users ORDER BY ${sortField}") List<User> selectWithSort(@Param("sortField") String sortField); } ``` ---
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值