mybatis的#{}占位符和${}拼接符的区别

最新推荐文章于 2023-02-18 08:00:00 发布
转载 最新推荐文章于 2023-02-18 08:00:00 发布 · 731 阅读 · 1
文章标签:

#mybatis的#{}占位符和${}拼接符的区别

没有检索到摘要

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

mybatis做为一个轻量级ORM框架在许多项目中使用,因其简单的入门受到了广大开发者的热爱。

#{}占位符:占位

使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句中如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且在使用#{}时形成的sql语句,已经带有引号,例,select * from table1 where id=#{id} 在调用这个语句时我们可以通过后台看到打印出的sql为:select * from table1 where id=‘2’ 加入传的值为2.也就是说在组成sql语句的时候把参数默认为字符串。

如果传入的是基本类型,那么#{}中的变量名称可以随意写
如果传入的参数是pojo类型,那么#{}中的变量名称必须是pojo中的属性.属性.属性…

${}拼接符:字符串原样拼接
如果传入的是基本类型,那么${}中的变量名必须是value
如果传入的参数是pojo类型,那么${}中的变量名称必须是pojo中的属性.属性.属性…
注意:使用拼接符有可能造成sql注入

使用${}时的sql不会当做字符串处理,是什么就是什么,如上边的语句:select * from table1 where id=${id} 在调用这个语句时控制台打印的为:select * from table1 where id=2 ,假设传的参数值为2

从上边的介绍可以看出这两种方式的区别,我们最好是能用#{}则用它,因为它可以防止sql注入,且是预编译的,在需要原样输出时才使用${},如,

select * from ${tableName} order by ${id} 这里需要传入表名和按照哪个列进行排序 ,加入传入table1、id 则语句为:select * from table1 order by id

如果是使用#{} 则变成了select * from ‘table1’ order by ‘id’ 我们知道这样就不对了。

另,在使用以下的配置时,必须使用#{}

<select id="selectMessageByIdI" parameterType="int" resultType="Message">
    select * from message where id=#{id};
</select>


在parameterType是int时,sql语句中必须是#{}。

<!-- 
id:sql语句唯一标识 
parameterType:指定传入参数类型
resultType:返回结果集类型
#{}占位符:起到占位作用,如果传入的是基本类型(string,long,double,int,boolean,float等),那么#{}中的变量名称可以随意写.
#{}:如果传入的是pojo类型,那么#{}中的变量名称必须是pojo中对应的属性.属性.属性.....
-->
<select id="findUserById" parameterType="int" resultType="cn.itheima.pojo.User">
       select * from user where id=#{id}
</select>

<!-- 
${}拼接符:字符串原样拼接,如果传入的参数是基本类型(string,long,double,int,boolean,float等),
那么${}中的变量名称必须是value
${}:如果传入的参数是pojo类型,那么`${}`中的变量名称必须是pojo中的属性.属性.属性...
注意:拼接符有sql注入的风险,所以慎重使用
 -->
<select id="findUserByUserName" parameterType="string" resultType="user">
    select * from user where username like '%${value}%'
</select>
MyBatis#{}${}的深度解析
记录学习的过程
05-07 979
符号名称官方称谓主要作用#{}井号占位符参数标记(Parameter Marker)预编译参数绑定${}美元符占位符字符串替换(String Substitution)直接字符串替换是否需要动态拼接SQL结构?├─ 是 → 是否涉及用户输入?│ ├─ 是 → 使用白名单校验 + ${}(极度谨慎)│ └─ 否 → 使用${}并确保参数可信└─ 否 → 一律使用#{}
MyBatis#{}${}:安全与灵活并存的SQL之道
爱编程的鱼的博客
03-07 1146
#{}​${}​是MyBatis中常用的占位符语法,具有不同的特点应用场景。​#{}​是安全的预编译占位符,适用于动态SQL片段、参数传递防止SQL注入;​${}​是字符串替换占位符,适用于动态表名列名的替换、SQL函数表达式的嵌入。在实际使用中,我们应根据您的要求,文章已经超出了模型的限制,应根据具体的需求情况选择合适的占位符语法,以确保SQL的安全性正确性。
mybatis拼接符占位符区别
Vectory0213的博客
08-06 1715
占位符: 1.#{}占位符可以用来设置参数,如果传进来的是基本类型,也就是(string,long,double,int,boolean,float等),那么#{}里面的变量名可以随意写,什么abc,xxx等等,这个名字传进来的参数名可以不一致。 2.如果传进来的是pojo类型,那么#{}中的变量名必须是pojo的属性名,可以写成属性名,也可以写属性名.属性名。 拼接符: 3.注意:#{...
MyBatis#{}占位符${}拼接符区别
泗水六年的博客
07-24 147
传入的参数在SQL中显示为字符串,#方式能够很大程度防止sql注入;$传入的参数在SqL中直接显示为传入的值,$方式无法防止Sql注入。
mybatis中的#占位符$拼接符区别
qq_45603855的博客
08-10 935
mybatis中的#占位符$拼接符区别一、sql注入1、什么是sql注入2、sql注入示例二、#占位符$拼接符区别三、mybatis如何防止sql注入四、总结   为更好地解释mybatis中的#占位符$拼接符区别,这里对sql注入做一个简单说明。 一、sql注入 1、什么是sql注入   SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 2、sql注入示例   首先定义一个sql字符串,来
占位符拼接符区别——2017.08.16
weixin_30709809的博客
08-16 302
  占位符:先占住一个固定的位置,等着你往里面添加内部的符号。在MyBatis中:"#{ }"表示占位符,1 对于基本类型类型变量,#{ }中变量名称可以随意填写 2 如果传入的是POJO类型变量,传入的必须是POJO对象的属性 拼接符${ }字符串原样拼接,1 如果传入的是基本类型变量,${ }中必须填入value值 2 如果传入的是POJO类...
浅谈Mybatis #$区别以及原理
08-18
Mybatis是一款流行的持久层框架,它提供了两个占位符#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$区别Mybatis中,#$都是占位符,但是它们...
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis中的#$区别
09-02
MyBatis中,`#``$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
#{}${}
热门推荐
努力赚钱就可以住更好的养老院
07-24 1万+
#{}:表示一个占位符号,通过#{}可以实现preparedStatement向占位符中设置值,自动进行java类型jdbc类型转换,#{}可以有效防止sql注入。 #{}可以接收简单类型值或pojo属性值。 如果parameterType传输单个简单类型值,#{}括号中可以是value或其它名称。 “%”#{name}”%” ${}:表示拼接sql串,通过${}可以将parameterTy...
2mybatis(占位符拼接符区别)
xiaoxiaoniaoQ的博客
10-11 946
6.2.3. 占位符拼接符区别 1.  类型处理: 占位符#{}传递参数时会做参数类型处理, 拼接符${}传递参数时不会做类型处理只进行字符串原样拼接 2.  安全性: ${}的原样拼接导致它存在安全漏洞,容易产生SQL注入风险 #{}的类型处理会对参数中存在的SQL敏感字符先转义然后再映射给SQL,这就不会影响原先的SQL,因此可以有效防止SQL注入。 3.  工作中的应用: ...
MyBatis#{} ${} 的区别
liuyuinsdu的专栏
03-12 1443
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS中 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
Mybatis占位符拼接符区别与使用场景
shadow_zed的博客
05-01 1080
mybatis 拼接_关于 Mybatis$ # , 你真的知道他们的细节吗?
weixin_39580715的博客
12-09 799
前言在JDBC中,主要使用的是两种语句,一种是支持参数化预编译的PrepareStatement,能够支持原生的Sql,也支持设置占位符的方式,参数化输入的参数,防止Sql注入,一种是支持原生Sql的Statement,有Sql注入的风险。在使用Mybatis进行开发过程中,隐藏了底层具体使用哪一种语句的细节,我们通过使用#$告诉Mybatis,我们实际上进行的是怎么样的操作,需要对语句进行参...
【MybBatis细节篇】MyBatis#{}${}的区别
输入技术、输出想法
12-02 5131
MyBatis#{}${}的区别#{} ${} 的区别#{} ${} 的实例:假设传入参数为 1#{} ${} 的大括号中的值单个参数的情形#{}${}多个参数的情形#{}${}#{} ${} 在使用中的技巧建议 在MyBatis 的映射配置文件中,动态传递参数有两种方式: 1、#{} 占位符 2、${} 拼接符 #{} ${} 的区别 区别1 #{} 为参数占位符 ?,即sql 预编译 ${} 为字符串替换,即 sql 拼接 区别2、 #{}:动态解析 -> 预编译
2种不能随意写占位符#{}的情况 (Java+Oracle框架--mybatis)
weixin_45464739的博客
11-08 538
占位符 #{} 只有一个的时候都能随意写。比如 #{a} 或者 #{abc} 等等,不过最好见名知义。 有2种情况不能随意写: 第1种: 传入的参数是对象时,需要用到对象的属性 #{deptno} #{dname} ,#{} 里面必须使用对象属性。 <!--Javabean:根据用户名部门编号同时查询员工信息 : sql语句中的参数2个--> <select id="queryEmpByNameDeptno" parameterType="emp" resultType
${}占位符用法
qq_33964336的博客
01-21 8877
ES2015新增${}占位符语法结构 ${}占位符浏览器支持: (1)IE9+浏览器支持占位符。 (2)edge浏览器支持占位符。 (3)火狐浏览器支持占位符。 (4)谷歌浏览器支持占位符。 (5)opera浏览器支持占位符。 (6)safria浏览器支持占位符。 一、什么是占位符: 首先解决第一个问题,大家知道占位是什么意思,比如让同学在自习室占个座位。 占位符的功能大致也是如此,${}占位符也...
MyBatis 之三(查询操作 占位符#{} 与 ${}、like查询、resultMap、association、collection)
m0_58761900的博客
02-18 2254
进行一对一查询,需要使用 association 标签,表示一对一的结果映射,其中 property 属性:指定其中所要一对一的那个属性 resultMap 属性:指定那个属性所关联的结果集映射 columnPrefix 属性:用来解决多表中相同字段数据覆盖的问题 一对一 标签类似,一对多也需要标签 ,来表示一对多的结果映射 其中也是需要设置 property(对象中的属性名)、resultMap(映射对象对应的字典)、columnPrefix(一般不要省略,解决了多张表中相同字段查询数据覆盖的问题)
3. MyBatis #{}${}区别
最新发布
06-13
<think>我们正在讨论MyBatis#{}${}的区别及使用场景。根据引用[1]、[2]、[3]、[4]、[5]的内容,可以总结如下:#{}${}都是MyBatis中用于动态传递参数的符号,但它们的工作机制安全性有本质区别:1.**处理机制不同**:-`#{}`:MyBatis会将SQL中的`#{}`替换为预编译语句中的占位符`?`,然后使用PreparedStatement的参数绑定机制来安全地设置值。这种方式会对传入的参数进行类型处理(如字符串类型会自动加单引号)并转义特殊字符,有效防止SQL注入攻击。-`${}`:MyBatis会直接将`${}`中的内容替换为参数的字符串值(不进行预编译处理)。如果参数是字符串类型,不会自动添加引号,所以需要手动添加单引号。这种方式是简单的字符串替换,存在SQL注入风险。2.**安全性差异**:-使用`#{}`时,由于参数会被预编译,因此可以防止SQL注入。例如,当传入参数为`a&#39;or&#39;1&#39;=&#39;1`时,使用`#{}`会转义单引号,变成`\&#39;`,从而避免非法查询。-使用`${}`时,如果参数值包含恶意SQL片段,会被直接拼接到SQL语句中执行,导致SQL注入风险。3.**适用场景**:-`#{}`适用于绝大多数场景,特别是作为查询条件值(WHERE子句中的值)、INSERT/UPDATE语句中的字段值等需要参数绑定的地方。-`${}`通常用于需要动态指定SQL语句非值部分的情况,例如:-动态排序字段(ORDERBY子句),如:`ORDERBY${columnName}[ASC|DESC]`(引用[1]、[2]、[4])-动态指定表名或列名(非值部分),如:`SELECT*FROM${tableName}`(引用[4])-动态SQL片段(如动态指定GROUPBY字段)4.**性能考虑**:-`#{}`生成的预编译语句可以被数据库缓存重用,提高执行效率。-`${}`每次都会生成新的SQL语句(因为内容可能变化),无法利用预编译缓存,性能略低。5.**使用细节**:-在`${}`中引用字符串类型参数时,需要在XML中手动添加单引号(如`&#39;${name}&#39;`),但这样仍然不安全(引用[5])。建议对用户输入进行严格过滤或避免使用。-在编写LIKE模糊查询时,推荐用`#{}`配合通配符处理(如`LIKECONCAT(&#39;%&#39;,#{keyword},&#39;%&#39;)`或代码中添加`%`),而不是用`${}`(引用[4])。###代码示例对比####安全用法(使用`#{}`)```xml<selectid="selectUser"resultType="User">SELECT*FROMusersWHEREname=#{name}ANDage=#{age}</select>```####动态排序(必须使用`${}`)```xml<selectid="selectUsersOrdered"resultType="User">SELECT*FROMusersORDERBY${orderColumn}${orderDirection}</select>```>⚠️注意:使用`${}`时,应确保参数值来自可信源(如后端枚举值),或进行严格校验。###总结|特性|`#{}`|`${}`||--------------|-------|------------||工作机制|预编译占位符|字符串替换||安全性|高(防注入)|低(有注入风险)||自动添加引号|是|否(需手动)||适用场景|参数值|动态SQL片段(表名/列名/排序)|因此,**在多数情况下优先使用`#{}`;仅当需要动态生成SQL关键字或标识符时(无法用预编译占位符代替),才谨慎使用`${}`**。§§相关问题§§1.如何安全地使用MyBatis动态表名?2.MyBatis中如何预防SQL注入?3.除了#{}${},MyBatis还有哪些动态SQL标签?</think> ### MyBatis中`#{}``${}`的区别及使用场景 #### 一、核心区别 | **特性** | **`#{}`** | **`${}`** | |----------------|-------------------------------------|-------------------------------------| | **处理机制** | 预编译占位符 (`?`) | 字符串直接替换 | | **安全性** | 防止SQL注入(自动转义特殊字符)[^4] | 有SQL注入风险(原样拼接)[^3][^4] | | **引号处理** | 自动添加引号(如字符串类型) | 需手动添加引号(如`&#39;${value}&#39;`) | | **性能** | 预编译语句可复用 | 每次生成新SQL | #### 二、使用场景对比 1. **`#{}` 的适用场景** - **条件值传递**(WHERE子句): ```xml SELECT * FROM user WHERE name = #{name} ``` 编译后:`SELECT * FROM user WHERE name = ?`(安全)[^2][^3] - **LIKE模糊查询**(需配合通配符): ```xml SELECT * FROM user WHERE name LIKE CONCAT(&#39;%&#39;, #{keyword}, &#39;%&#39;) ``` - **INSERT/UPDATE操作**: ```xml INSERT INTO user (name, age) VALUES (#{name}, #{age}) ``` 2. **`${}` 的适用场景** - **动态排序字段**(ORDER BY): ```xml SELECT * FROM user ORDER BY ${orderField} ASC ``` *若用`#{}`会生成`ORDER BY &#39;name&#39;`(语法错误)* [^1][^4] - **动态表名/列名**: ```xml SELECT * FROM ${tableName} ``` - **固定SQL片段**: ```xml ${"LIMIT 10"} <!-- 直接拼接SQL关键字 --> ``` #### 三、安全性对比(SQL注入示例) ```xml <!-- 危险!传入 `name = "a&#39; OR &#39;1&#39;=&#39;1"` 会导致全部数据泄露 --> SELECT * FROM user WHERE name = &#39;${name}&#39; <!-- 安全!参数会被转义为: `a\&#39; OR \&#39;1\&#39;=\&#39;1` --> SELECT * FROM user WHERE name = #{name} ``` > 💡 **结论**:`${}`需要**严格校验输入**(如只允许枚举值),否则应避免使用[^4][^5]。 #### 四、性能影响 - `#{}` 生成的预编译语句可被**数据库缓存重用**,尤其在高并发时性能更优[^3] - `${}` 每次生成**全新SQL语句**,增加数据库解析开销 ### 最佳实践总结 1. **默认优先使用`#{}`**:适用于>95%的场景(值传递) 2. **谨慎使用`${}`**:仅用于**动态表名/列名、排序字段**等非值场景[^1][^4] 3. **防御措施**: - 对`${}`参数做**白名单校验**(如只允许特定字段名) - 避免直接拼接用户输入(如`ORDER BY ${userInput}`) ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值