MyBatis中#{ } 与 ${ }的区别

最新推荐文章于 2024-02-06 18:40:13 发布
最新推荐文章于 2024-02-06 18:40:13 发布
阅读量244 收藏
点赞数
分类专栏: SSM开发笔记
没有检索到摘要

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#{}表示一个占位符号,#{}接收输入参数,类型可以是简单类型,pojo、hashmap。
为什么用#{}代表,而不用"?"代表占位符呢??
因为框架将sql和程序代码分离开,所以无法直接确认参数的含义,到底"?"代表哪儿个参数等等,所以框架采用了特殊的符号来代替"?"号。
如果接收简单类型,#{}中可以写成value或其它名称。
#{}接收pojo对象值,通过OGNL读取对象中的属性值,通过属性.属性.属性...的方式获取对象属性值。
${}表示一个拼接符号,会引用sql注入,所以不建议使用${}。
${}接收输入参数,类型可以是简单类型,pojo、hashmap。
如果接收简单类型,${}中只能写成value。
${}接收pojo对象值,通过OGNL读取对象中的属性值,通过属性.属性.属性...的方式获取对象属性值。

注意:

简单类型:String,Interger等,并没有封装多个属性的叫做简单类型,

封装类型:封装多个属性并且提供了setter和getter的叫做封装类型。Map是封装类型,取值可以根据key取值。

如果我们传递过来的参数只是一个简单类型,并且有多个#{}(名称可以任意取,如#{aa}、#{bb}),那么这里的所有#{}占位符的最终获取值都相同。

 

最后总结下:

一般${}用在我们能够确定值的地方,也就是我们程序员自己赋值的地方。
而#{}一般用在用户输入值的地方!!

参考文章:

https://blog.youkuaiyun.com/Marvel__Dead/article/details/69049682

mybatis#$使用和区别
学无止境
02-27 1112
mybatis#$使用和区别
工作发狂:MyBatis$# 千万不要乱用!
芋道源码
07-24 662
点击上方“芋道源码”,选择“设为星标”做积极的人,而不是积极废人!源码精品专栏中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析...
mybatis$#区别
qq_43134169的博客
01-18 186
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号 如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id" 2. $将传入的数据直接显示生成在sql中 如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为order by 111, 如果传入的值是id,则解析成的sql为order by id 3. #方式能够很大程度.
Mybatis#{}和${}的区别
Damon_zqt的博客
05-03 284
1、场景:数据库有两个一模一样的表。历史表,当前表 查询表中的信息,有时候从历史表中去查询数据,有时候需要去新的表去查询数据。 希望使用1个方法来完成操作。 <select id="queryUserByTableName" resultType="com.zpc.mybatis.pojo.User"> select * from #{tableName} </selec...
mybatis#{}和${}的区别
qq_45331503的博客
11-09 97
#{} 加入sql的时候带单引号 ${} 不带单引号
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #$区别...
Mybatis#{}和${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
MyBatis#$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 1849
#{}和${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
浅谈mybatis中的#$区别
09-02
MyBatis中,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
mybatis中的#$区别
yuan_qh的博客
09-13 346
先来一段比较难懂的官话(大佬看的),哈哈哈: 经常碰到这样的面试题目:#{}和${}的区别是什么? 正确的答案是:#{}是预编译处理,${}是字符串替换。 (1)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值。 (2)mybatis在处理${}时,就是把${}替换成变量的值。 (3)使用#{}可以有效的防止SQL...
mybatis映射文件参数处理 #{}取值${}取值的区别
dengdi2376的博客
12-25 128
#{}:是以预编译的映射,将参数设置到sql语句中,和jdbc的preraredStatement一样,使用占位符,防止sql注入。 ${}:取出的值会直接拼装在sql中,会有安全问题。 大多数情况下的参数取值,我们都要用#{}的方式取值。 但是原生jdbc不支持占位符的地方,例如:分表,排序等等。。。我们可以使用${} 分表:比如按照年份的分表查询员工绩效等等如下: sele...
Mybatis中使用#{}和使用${}的区别
技术小学僧的博客
01-10 971
1、#{}     1.1、使用预编译的语句,即底层使用JDBC的PreparedStatement占位符?     1.2、可以防止sql注入 2、${}     2.1、底层使用Statement ,字符串拼接。可能会有SQL注入。     2.2、写在${}里面的内容必须有get方法     2.3、如果${数字} 认为这个位置就是数字     2.4、${} 适用于参数是...
MyBatis——谈谈占位符(#$)的理解使用
热门推荐
贝尔摩德苦艾酒
03-02 3万+
MyBatis——谈谈占位符(#$)的理解使用
mybatis#{}${}的区别
develop
06-22 658
相同点: 1、可以接收输入参数,类型可以是简单类型,pojo、hashmap。 2、可以接收pojo对象值,通过OGNL读取对象中的属性值,是通过属性.属性…的方式获取对象属性的值。不同点: 1、#{}表示一个占位符号;${}表示一个拼接符号,会引用sql注入,所以不建议使用。 2、#{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号;${}将传入的数据直接显示生成在sql中。
MyBatis#{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1423
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS中 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
Mybatis#$区别
伏颜的博客
07-11 2万+
Mybatis#$区别
MyBatis#{}和${}的不同和${}的妙用
Marvel__Dead 胡艺宝的博客
04-14 1万+
突然意识到sql语句的独特语义要和代码分离,我们就不能够在代码中写sql语句!!比如我要用${}在MyBatis的sql中拼接排序类型的时候,我就不能够在Java代码中直接写参数字符串为Order By哪儿个类型#{}和${}的基本不同我就不想说了,这里要说的是进一步对占位符和字符拼接的字面语义的领悟!!#{}和${}基本不同在这篇文章的最后有提到过占位符:占位符就是在某个地方占领一个位置,把它单独
mybatis#$区别
最新发布
12-30
### MyBatis 中 `#` 和 `$` 符号的区别 #### 占位符功能差异 在 MyBatis 中,`#{}` 和 `${}` 都可以作为占位符来插入参数到 SQL 语句中。然而两者的工作机制存在显著不同。 当使用 `#{}` 形式的占位符时,MyBatis 将其视为预处理语句 (PreparedStatement) 的参数绑定方式[^1]。这意味着实际的 SQL 发送到数据库之前会先由 JDBC 进行一次转义处理,从而有效防止 SQL 注入攻击的发生。 而采用 `${}` 方式,则是直接替换模板中的变量名为其对应的值字符串,并不做任何额外的安全检查或转换操作[^2]。因此,在某些特殊情况下可能会引入潜在风险。 #### 使用场景对比 由于上述特性上的差别,这两种语法适用于不同的编程环境: - 对于大多数常规查询条件构建而言,推荐优先选用 `#{}` 结构以增强应用程序的整体安全性; - 当遇到一些无法通过标准 API 实现的需求——比如表名、列名动态指定等情况时,则可能不得不借助 `${}` 完成相应逻辑编码工作;不过此时应当格外谨慎对待输入验证环节[^3]。 #### 示例代码展示 下面给出一段简单的例子说明如何分别运用这两种表达形式编写 Mapper XML 文件内的 SELECT 语句: ```xml <!-- 正确做法 --> <select id="findUserById" parameterType="int" resultType="com.example.User"> SELECT * FROM users WHERE user_id = #{userId} </select> <!-- 错误示范:容易遭受注入威胁 --> <select id="findByTableName" parameterType="string" resultType="map"> SELECT * FROM ${tableName} <!-- 不建议这样写 --> </select> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值