mybatis的#{}占位符和${}拼接符的区别

最新推荐文章于 2023-02-18 08:00:00 发布
最新推荐文章于 2023-02-18 08:00:00 发布
阅读量731 收藏 1
点赞数 1
分类专栏: Mybatis 文章标签: mybatis的#{}占位符和${}拼接符的区别
没有检索到摘要

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

mybatis做为一个轻量级ORM框架在许多项目中使用,因其简单的入门受到了广大开发者的热爱。

#{}占位符:占位

使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句中如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且在使用#{}时形成的sql语句,已经带有引号,例,select * from table1 where id=#{id} 在调用这个语句时我们可以通过后台看到打印出的sql为:select * from table1 where id=‘2’ 加入传的值为2.也就是说在组成sql语句的时候把参数默认为字符串。

如果传入的是基本类型,那么#{}中的变量名称可以随意写
如果传入的参数是pojo类型,那么#{}中的变量名称必须是pojo中的属性.属性.属性…

${}拼接符:字符串原样拼接
如果传入的是基本类型,那么${}中的变量名必须是value
如果传入的参数是pojo类型,那么${}中的变量名称必须是pojo中的属性.属性.属性…
注意:使用拼接符有可能造成sql注入

使用${}时的sql不会当做字符串处理,是什么就是什么,如上边的语句:select * from table1 where id=${id} 在调用这个语句时控制台打印的为:select * from table1 where id=2 ,假设传的参数值为2

从上边的介绍可以看出这两种方式的区别,我们最好是能用#{}则用它,因为它可以防止sql注入,且是预编译的,在需要原样输出时才使用${},如,

select * from ${tableName} order by ${id} 这里需要传入表名和按照哪个列进行排序 ,加入传入table1、id 则语句为:select * from table1 order by id

如果是使用#{} 则变成了select * from ‘table1’ order by ‘id’ 我们知道这样就不对了。

另,在使用以下的配置时,必须使用#{}

<select id="selectMessageByIdI" parameterType="int" resultType="Message">
    select * from message where id=#{id};
</select>


在parameterType是int时,sql语句中必须是#{}。

<!-- 
id:sql语句唯一标识 
parameterType:指定传入参数类型
resultType:返回结果集类型
#{}占位符:起到占位作用,如果传入的是基本类型(string,long,double,int,boolean,float等),那么#{}中的变量名称可以随意写.
#{}:如果传入的是pojo类型,那么#{}中的变量名称必须是pojo中对应的属性.属性.属性.....
-->
<select id="findUserById" parameterType="int" resultType="cn.itheima.pojo.User">
       select * from user where id=#{id}
</select>

<!-- 
${}拼接符:字符串原样拼接,如果传入的参数是基本类型(string,long,double,int,boolean,float等),
那么${}中的变量名称必须是value
${}:如果传入的参数是pojo类型,那么`${}`中的变量名称必须是pojo中的属性.属性.属性...
注意:拼接符有sql注入的风险,所以慎重使用
 -->
<select id="findUserByUserName" parameterType="string" resultType="user">
    select * from user where username like '%${value}%'
</select>
MyBatis#{}${}的深度解析
记录学习的过程
05-07 979
符号名称官方称谓主要作用#{}井号占位符参数标记(Parameter Marker)预编译参数绑定${}美元符占位符字符串替换(String Substitution)直接字符串替换是否需要动态拼接SQL结构?├─ 是 → 是否涉及用户输入?│ ├─ 是 → 使用白名单校验 + ${}(极度谨慎)│ └─ 否 → 使用${}并确保参数可信└─ 否 → 一律使用#{}
MyBatis#{}${}:安全与灵活并存的SQL之道
爱编程的鱼的博客
03-07 1146
#{}​${}​是MyBatis中常用的占位符语法,具有不同的特点应用场景。​#{}​是安全的预编译占位符,适用于动态SQL片段、参数传递防止SQL注入;​${}​是字符串替换占位符,适用于动态表名列名的替换、SQL函数表达式的嵌入。在实际使用中,我们应根据您的要求,文章已经超出了模型的限制,应根据具体的需求情况选择合适的占位符语法,以确保SQL的安全性正确性。
mybatis拼接符占位符区别
Vectory0213的博客
08-06 1715
占位符: 1.#{}占位符可以用来设置参数,如果传进来的是基本类型,也就是(string,long,double,int,boolean,float等),那么#{}里面的变量名可以随意写,什么abc,xxx等等,这个名字传进来的参数名可以不一致。 2.如果传进来的是pojo类型,那么#{}中的变量名必须是pojo的属性名,可以写成属性名,也可以写属性名.属性名。 拼接符: 3.注意:#{...
MyBatis#{}占位符${}拼接符区别
泗水六年的博客
07-24 147
传入的参数在SQL中显示为字符串,#方式能够很大程度防止sql注入;$传入的参数在SqL中直接显示为传入的值,$方式无法防止Sql注入。
mybatis中的#占位符$拼接符区别
qq_45603855的博客
08-10 935
mybatis中的#占位符$拼接符区别一、sql注入1、什么是sql注入2、sql注入示例二、#占位符$拼接符区别三、mybatis如何防止sql注入四、总结   为更好地解释mybatis中的#占位符$拼接符区别,这里对sql注入做一个简单说明。 一、sql注入 1、什么是sql注入   SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 2、sql注入示例   首先定义一个sql字符串,来
占位符拼接符区别——2017.08.16
weixin_30709809的博客
08-16 302
  占位符:先占住一个固定的位置,等着你往里面添加内部的符号。在MyBatis中:"#{ }"表示占位符,1 对于基本类型类型变量,#{ }中变量名称可以随意填写 2 如果传入的是POJO类型变量,传入的必须是POJO对象的属性 拼接符${ }字符串原样拼接,1 如果传入的是基本类型变量,${ }中必须填入value值 2 如果传入的是POJO类...
浅谈Mybatis #$区别以及原理
08-18
Mybatis是一款流行的持久层框架,它提供了两个占位符#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$区别Mybatis中,#$都是占位符,但是它们...
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis中的#$区别
09-02
MyBatis中,`#``$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
#{}${}
热门推荐
努力赚钱就可以住更好的养老院
07-24 1万+
#{}:表示一个占位符号,通过#{}可以实现preparedStatement向占位符中设置值,自动进行java类型jdbc类型转换,#{}可以有效防止sql注入。 #{}可以接收简单类型值或pojo属性值。 如果parameterType传输单个简单类型值,#{}括号中可以是value或其它名称。 “%”#{name}”%” ${}:表示拼接sql串,通过${}可以将parameterTy...
2mybatis(占位符拼接符区别)
xiaoxiaoniaoQ的博客
10-11 946
6.2.3. 占位符拼接符区别 1.  类型处理: 占位符#{}传递参数时会做参数类型处理, 拼接符${}传递参数时不会做类型处理只进行字符串原样拼接 2.  安全性: ${}的原样拼接导致它存在安全漏洞,容易产生SQL注入风险 #{}的类型处理会对参数中存在的SQL敏感字符先转义然后再映射给SQL,这就不会影响原先的SQL,因此可以有效防止SQL注入。 3.  工作中的应用: ...
MyBatis#{} ${} 的区别
liuyuinsdu的专栏
03-12 1443
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS中 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
Mybatis占位符拼接符区别与使用场景
shadow_zed的博客
05-01 1080
mybatis 拼接_关于 Mybatis$ # , 你真的知道他们的细节吗?
weixin_39580715的博客
12-09 799
前言在JDBC中,主要使用的是两种语句,一种是支持参数化预编译的PrepareStatement,能够支持原生的Sql,也支持设置占位符的方式,参数化输入的参数,防止Sql注入,一种是支持原生Sql的Statement,有Sql注入的风险。在使用Mybatis进行开发过程中,隐藏了底层具体使用哪一种语句的细节,我们通过使用#$告诉Mybatis,我们实际上进行的是怎么样的操作,需要对语句进行参...
【MybBatis细节篇】MyBatis#{}${}的区别
输入技术、输出想法
12-02 5131
MyBatis#{}${}的区别#{} ${} 的区别#{} ${} 的实例:假设传入参数为 1#{} ${} 的大括号中的值单个参数的情形#{}${}多个参数的情形#{}${}#{} ${} 在使用中的技巧建议 在MyBatis 的映射配置文件中,动态传递参数有两种方式: 1、#{} 占位符 2、${} 拼接符 #{} ${} 的区别 区别1 #{} 为参数占位符 ?,即sql 预编译 ${} 为字符串替换,即 sql 拼接 区别2、 #{}:动态解析 -> 预编译
2种不能随意写占位符#{}的情况 (Java+Oracle框架--mybatis)
weixin_45464739的博客
11-08 538
占位符 #{} 只有一个的时候都能随意写。比如 #{a} 或者 #{abc} 等等,不过最好见名知义。 有2种情况不能随意写: 第1种: 传入的参数是对象时,需要用到对象的属性 #{deptno} #{dname} ,#{} 里面必须使用对象属性。 <!--Javabean:根据用户名部门编号同时查询员工信息 : sql语句中的参数2个--> <select id="queryEmpByNameDeptno" parameterType="emp" resultType
${}占位符用法
qq_33964336的博客
01-21 8877
ES2015新增${}占位符语法结构 ${}占位符浏览器支持: (1)IE9+浏览器支持占位符。 (2)edge浏览器支持占位符。 (3)火狐浏览器支持占位符。 (4)谷歌浏览器支持占位符。 (5)opera浏览器支持占位符。 (6)safria浏览器支持占位符。 一、什么是占位符: 首先解决第一个问题,大家知道占位是什么意思,比如让同学在自习室占个座位。 占位符的功能大致也是如此,${}占位符也...
MyBatis 之三(查询操作 占位符#{} 与 ${}、like查询、resultMap、association、collection)
m0_58761900的博客
02-18 2254
进行一对一查询,需要使用 association 标签,表示一对一的结果映射,其中 property 属性:指定其中所要一对一的那个属性 resultMap 属性:指定那个属性所关联的结果集映射 columnPrefix 属性:用来解决多表中相同字段数据覆盖的问题 一对一 标签类似,一对多也需要标签 ,来表示一对多的结果映射 其中也是需要设置 property(对象中的属性名)、resultMap(映射对象对应的字典)、columnPrefix(一般不要省略,解决了多张表中相同字段查询数据覆盖的问题)
3. MyBatis #{}${}区别
最新发布
06-13
、[3]、[4]、[5]的内容,可以总结如下:#{}${}都是MyBatis中用于动态传递参数的符号,但它们的工作机制安全性有本质区别:1.**处理机制不同**:-`#{}`:MyBatis会将SQL中的`#{}`替换为预编译语句中的占位符`?...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值