Mybatis#与$的区别与认知

最新推荐文章于 2025-06-07 00:13:07 发布
最新推荐文章于 2025-06-07 00:13:07 发布
阅读量294 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 项目开发经验 文章标签: Mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_33548914/article/details/79991320
本文介绍了一种使用MyBatis处理特殊字符的方法,解决在查询含有特殊字符的商品属性时出现的问题。通过对比#与$符号在MyBatis中的区别,最终采用$符号解决了SQL查询失败的情况。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近适用mybatis有个查询需求,就是将商品属性与数据库中的商品属性字符串进行比对,从而通过用户筛选的属性获取对应的商品。 从前台获取json封装都1属性值对后,在后台进行解析,然后对多个属性存储在List集合中。然后将该集合传参给Mapper接口进行查询。
其中List集合中的值长这样
List<String> attr = new ArrayList<String>();
attr.add("'%\"品牌\":[%\"花花公子\"%]%'");
attr.add("'%\"尺码\":[%\"M\"%]%'");

mapper接口是这样子搭:
//通过类目id与商品属性获取该类目
 List<Good> selectByAttributes(@Param("id")Integer id, @Param("attr")List<String> attr); 

然后xml文件查询语句是这样的:
  <!--通过类目id与商品属性获取该类目  -->
  <select id="selectByAttributes" resultMap="BaseResultMap">
     SELECT sg.id,sg.goodName,sg.status,sg.updateTime,sg.enteringTime,sg.updatePersonId,sg.enteringPersonId,sg.romotion,sg.totalSales ,sg.originalPrice
     from shop_good sg
     LEFT JOIN shop_base_attri_good sbag on sbag.goodId = sg.id
     where categoryId = #{id,jdbcType=INTEGER} and
     <foreach item="attribute" collection="attr" index="index" separator=" and ">
          attributes like #{attribute}
     </foreach>
  </select>


以上,一切看起来自我感觉良好,测试运行以下,获取的结果是List<Good>的大小为0
一脸懵逼的查看运行日志:
[2018-04-18 15:09:35,700] [DEBUG] [org.mybatis.spring.transaction.SpringManagedTransaction.openConnection(SpringManagedTransaction.java:87)] [JDBC Connection [com.mysql.jdbc.JDBC4Connection@3b718392] will not be managed by Spring]
[2018-04-18 15:09:35,712] [DEBUG] [org.apache.ibatis.logging.jdbc.BaseJdbcLogger.debug(BaseJdbcLogger.java:159)] [==>  Preparing: SELECT sg.id,sg.goodName,sg.status,sg.updateTime,sg.enteringTime,sg.updatePersonId,sg.enteringPersonId,sg.romotion,sg.totalSales ,sg.originalPrice from shop_good sg LEFT JOIN shop_base_attri_good sbag on sbag.goodId = sg.id where categoryId = ? and attributes like ? and attributes like ? ]
[2018-04-18 15:09:35,796] [DEBUG] [org.apache.ibatis.logging.jdbc.BaseJdbcLogger.debug(BaseJdbcLogger.java:159)] [==> Parameters: 64(Integer), '%"品牌":[%"花花公子"%]%'(String), '%"尺码":[%"M"%]%'(String)]
[2018-04-18 15:09:35,854] [DEBUG] [org.apache.ibatis.logging.jdbc.BaseJdbcLogger.debug(BaseJdbcLogger.java:159)] [<==      Total: 0]
[2018-04-18 15:09:35,857] [DEBUG] [org.mybatis.spring.SqlSessionUtils.closeSqlSession(SqlSessionUtils.java:191)] [Closing non transactional SqlSession [org.apache.ibatis.session.defaults.DefaultSqlSession@d816dde]]
[2018-04-18 15:09:35,857] [DEBUG] [org.springframework.jdbc.datasource.DataSourceUtils.doReleaseConnection(DataSourceUtils.java:329)] [Returning JDBC Connection to DataSource]
0

从上面看到查询语句没出错,传参也没错,于是不服的拿到navicat进行查询,结果如下:

于是很纳闷,问题出现在哪里,通过查阅mybatis相关数据,得知特殊字串的替换与处理问题,
mybatis中#与$的区别:#{} 在动态解析的时候, 会解析成一个参数标记符。${}在动态解析的时候,会将我们传入的参数当做String字符串填充到我们的语句中
  • #方式能够很大程度防止sql注入。
  • $方式无法防止Sql注入。
  • $方式一般用于传入数据库对象,例如传入表名.
本次查询条件中包含特殊字符,我一开始使用的是#,所以会导致查询失败,改为$后查询就成功了。
[2018-04-18 15:21:11,633] [DEBUG] [org.mybatis.spring.transaction.SpringManagedTransaction.openConnection(SpringManagedTransaction.java:87)] [JDBC Connection [com.mysql.jdbc.JDBC4Connection@7ee55e70] will not be managed by Spring]
[2018-04-18 15:21:11,651] [DEBUG] [org.apache.ibatis.logging.jdbc.BaseJdbcLogger.debug(BaseJdbcLogger.java:159)] [==>  Preparing: SELECT sg.id,sg.goodName,sg.status,sg.updateTime,sg.enteringTime,sg.updatePersonId,sg.enteringPersonId,sg.romotion,sg.totalSales ,sg.originalPrice from shop_good sg LEFT JOIN shop_base_attri_good sbag on sbag.goodId = sg.id where categoryId = ? and attributes like '%"品牌":[%"花花公子"%]%' and attributes like '%"尺码":[%"M"%]%' ]
[2018-04-18 15:21:11,697] [DEBUG] [org.apache.ibatis.logging.jdbc.BaseJdbcLogger.debug(BaseJdbcLogger.java:159)] [==> Parameters: 64(Integer)]
[2018-04-18 15:21:11,848] [DEBUG] [org.apache.ibatis.logging.jdbc.BaseJdbcLogger.debug(BaseJdbcLogger.java:159)] [<==      Total: 7]
[2018-04-18 15:21:11,850] [DEBUG] [org.mybatis.spring.SqlSessionUtils.closeSqlSession(SqlSessionUtils.java:191)] [Closing non transactional SqlSession [org.apache.ibatis.session.defaults.DefaultSqlSession@d816dde]]
[2018-04-18 15:21:11,850] [DEBUG] [org.springframework.jdbc.datasource.DataSourceUtils.doReleaseConnection(DataSourceUtils.java:329)] [Returning JDBC Connection to DataSource]
7

MyBatis核心配置文件详解:一篇就够
架构师的AI之路,分享AI应用开发架构的学习与实践。
07-15 279
MyBatis作为Java生态中最流行的持久层框架之一,其核心配置文件()就像一把"钥匙"——它定义了框架的全局行为、数据库连接方式、类型转换规则、SQL映射位置等关键信息。很多开发者在使用MyBatis时,往往对配置文件的理解停留在"能跑就行"的层面,导致遇到问题时无从下手。本文将通过生活化比喻分步解析实战案例,彻底拆解的每一个核心元素,帮你掌握其设计逻辑最佳实践。无论你是刚接触MyBatis的新手,还是想深入优化的中级开发者,这篇文章都能让你对MyBatis的配置有更清晰的认知
Mybatis疑难事件簿:#‘传递布尔值无效问题
weixin_57907028的博客
01-20 977
一、问题现场 MySQL自5.7版本就开始提供JSON类型,本次问题就是在使用JSON类型时出现的MySQL服务可以正常查询而使用Mybatis查询失效问题。 具体表现为在使用Mybatis(这里需要注意一下,笔者实际使用了其增强版Mybatis-Plus)按照JSON类型字段中某个key的指定value进行条件查询时出现无法查询出结果,在参数值传递时使用了'#'进行变量值传递,查询代码如下: @Select("select * from `task_info` where task_par
mybatis #{} 以及 ${}
热门推荐
minzhang001的博客
10-23 1万+
动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 在下面的语句中,如果 username 的值为 zhangsan,则两种方式无任何区别:select * from user where name = #{name
MyBatis#{} ${} 的区别
liuyuinsdu的专栏
03-12 1443
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS中 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
深入理解MyBatis中的#{}${}:区别、联系运用建议
最新发布
2301_77646169的博客
06-07 291
特点#{}${}安全性高低预编译支持支持不支持适用范围值参数(条件、数据)表名、列名、排序字段等动态片段常见场景查询条件、数据操作表结构、排序、动态SQL片段。
mybatis #{} ${}
weixin_47967397的博客
02-19 167
order by 后面必须用$ order by ${} ${}
Mybatis_day2_Mybatis的CRUD操作
学习笔记
03-09 338
Mybatis根据动态代理实现CRUD操作 使用要求: 持久层接口(UserDao)持久层接口的映射配置必须在相同的包下 持久层映射配置中 mapper 标签的 namespace 属性取值必须是持久层接口的全限定类名 SQL 语句的配置标签<select>,<insert>,<delete>,<update>的 id 属性必须持久层接口的...
MyBatis#{} ${}
llt2997632602的博客
01-27 814
MyBatis是一种用于Java语言的持久层框架,它简化了数据库操作的过程。在MyBatis中,我们经常会看到两种不同的参数占位符语法:#{}${}。虽然它们看起来相似,但在使用处理上却有一些重要的区别。本文将深入解析这两种占位符的使用场景特点。
Mybatis疑难事件簿:‘#‘传递布尔值无效问题
m0_66491772的博客
01-20 829
一、问题现场   MySQL自5.7版本就开始提供JSON类型,本次问题就是在使用JSON类型时出现的MySQL服务可以正常查询而使用Mybatis查询失效问题。   具体表现为在使用Mybatis(这里需要注意一下,笔者实际使用了其增强版Mybatis-Plus)按照JSON类型字段中某个key的指定value进行条件查询时出现无法查询出结果,在参数值传递时使用了'#'进行变量值传递,查询代码如下: @Select("select * from `task_info` where task..
Hibernate Mybatis 的共存问题,打破你的认知!(两个ORM框架)
08-18
【标题】:在项目中整合HibernateMybatis的共存策略 【摘要】:本文探讨了如何在同一个项目中同时使用HibernateMybatis这两个流行的ORM框架,以利用它们各自的优势,满足不同场景的需求。我们将详细介绍如何...
mybatisMybatis整体架构解析
芝兰生于深谷,不以无人而不芳
01-05 1656
mybatisMybatis整体架构解析
mybatis#{}${}
妖月风的专栏
05-11 422
#{}实现的是向 prepareStatement 中的预处理语句中设置参数值,sql语句中#{}表示一个占位符即?${}是将参数值不加修饰的拼在sql中,相当中用jdbc的statement拼接sql,使用${}不能防止sql注入,但是有时用${}会非常方便。 使用占位符#{}可以有效防止sql注入,在使用时不需要关心参数值的类型,mybatis会根据参数值的类型调用不同的s
mybatis#{}于${}
指尖艺术的博客
02-26 370
#{}相当于一个预编译中的 ‘?’ 参数占位符,并在Sql解析时将形参值取出,自动加上引号 示例:现有实参为 username = "jojo" ..... <select id="findUserByName" parameterType="string" resultType="com.demo.domain.User"> select * from user where username = #{username} </select> ..... 相当于预编
mybatis中的#{}${}
submorino的专栏
11-25 2545
mybatis中的#{}${} 1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}${}的区别 (1)   1)#{}为参数占位符?,即sql 预编译   2)${}为字符串替换,即sql 拼接 (2)   1)#{}:动态解析 ->预编译-> 执行   2)${}:动态解析 ->编译-> 执行 (3)   1)#{}的变量替换是在DBMS中   2)${}...
mybatis中 的 #{} ${}
az44yao的专栏
07-10 775
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式:(1)#{} 占位符(2)${} 拼接符2、#{} ${} 的区别(1)1)#{} 为参数占位符 ?,即sql 预编译 2)${} 为字符串替换,即 sql 拼接(2)1)#{}:动态解析 -> 预编译 -> 执行 2)${}:动态解析 -> 编译 -> 执行(3)1)#{} 的变量替换是在DBMS 中 2)${} 的变量替换是在 DBMS 外(4)1)变量替换后,#{} 对应的变量自动加上单引号 ‘’ 2)变量替换后,${} 对应的变量不
MyBatis中的#{} ${}
2301_76161469的博客
05-02 1083
由于 ${} 存在 SQL注入的问题,因此,在能够使用 #{} 的情况下,我们尽可能选择使用 #{},而在需要使用 ${} 时,我们需要对用户输入的数据进行验证,确保其符合预期的格式范围。当使用 ${} 时,由于没有对用户输入进行充分检查,而SQL又是拼接而成的,在用户输入参数时,在参数中添加一些 SQL关键字,达到改变SQL运行结果的目的,也可以完成恶意攻击。当使用 ${} 时,由于参数直接拼接在SQL语句中,而字符串作为参数时需要添加 '',而 ${} 不会拼接'',因此程序报错。
MyBatis】参数占位符 #{} ${}
关关的博客
05-22 1539
#{}${}区别详解
MyBatis中的${}#{}
小景的博客
06-28 651
${}、#{}的使用举例: 后端Controller @RequestMapping(value = "/getStatisticsData", method = RequestMethod.GET, produces = "application/json;charset=utf8") public List<SearchResult> getStatisticsData(Long startTime, Long endTime, String argu) { Lis...
mybatis#{}${}小结
Dove_Knowledge的博客
09-04 2000
#{}: 标识一个占位符,向占位符输入参数,mybatis自动进行java类型jdbc类型的转换,程序员不需要考虑参数的类型,比如传入字符串,mybatis最终拼接好的sql就是参数两边加单引号 ${}: 标识sql的拼接,通过${}接收参数,将参数的内容不加任何修饰拼接在sql中。 例如: select * from user where id = #{id} 等效于
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值