Mybatis${param}与#{param}有什么区别

最新推荐文章于 2025-07-07 15:37:48 发布
最新推荐文章于 2025-07-07 15:37:48 发布
阅读量2.2k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: java爱好者 回首一辈子 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_40096230/article/details/89336098
本文详细解析了MyBatis中${}

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

${param}表达式主要用户获取配置文件数据,DAO接口中的参数信息,当 $ 出现在映射文件的 SQl 语句中时创建的不是预编译的 SQL ,而是字符串的拼接有可能会导致 SQL 注入的问题,所以一般使用 $ 接收 DAO 参数时,这些参数一般是字段名,表名等.例如 order by {column}

#{param} 表达式主要是用户获取 DAO 中的参数数据,在映射文件的SQL 语句中出现 #{} 表达式,底层会创建预编译的 SQL .性能会相对较好

${} 获取 DAO 参数数据时,参数必须使用 @param 注解进行修饰

#{} 获取 DAO 参数数据时,假如参数个数多于一个,可有选择的使用@param

 

18.<Mybatis补充($和#区别+数据库连接池)>
m0_73456341的博客
10-23 1963
详解了 1.$和#区别 2.数据库连接池。 3.简单了解MySQL企业开发规范
MyBatis中的#和$有什么区别
关注我!带你一路 "狂飙" 到底!
02-08 4833
MyBatis是一款优秀的持久层框架,特别是在国内(国外据说还是 Hibernate 的天下)非常的流行,我们常说的SSM组合中的M指的就是MyBatisMyBatis支持定制化SQL、存储过程以及高级映射等多种特性,单纯从代码上来看,MyBatis避免了几乎所有的JDBC代码和手动设置参数以及手动处理结果集。而且MyBatis的使用也非常方便,可以通过简单的XML或注解来配置和映射数据信息。对MyBatis不熟悉的小伙伴,可以私信百泽老师,我们有免费的MyBatis手把手教学视频送给你哦~
MybatisPlus #{param}和${param}的用法详解
09-08
主要介绍了MybatisPlus #{param}和${param}的用法详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
mybatis 多个接口参数的注解使用方式(@Param)
Homejim的博客
10-09 1万+
1 简介 1.1 单参数 在 Mybatis 中, 很多时候, 我们传入接口的参数只有一个。 对应接口参数的类型有两种, 一种是基本的参数类型, 一种是 JavaBean。 例如在根据主键获取对象时, 我们只需要传入一个主键的参数即可。 而在插入, 更新等操作时, 一般会涉及到很多参数, 我们就使用 JavaBean。 1.2 多参数 但是, 在实际的情况中, 我们遇到类似这样的情况可能: 接口...
深入浅出:Ruoyi 数据权限如何通过 `${params.dataScope}` 实现?
最新发布
一勺菠萝丶的博客
07-07 744
CEO 可以打开所有抽屉(查看全部数据)部门经理只能打开自己部门的抽屉普通员工只能打开自己名下的抽屉这种“不同人看到不同范围数据”的能力就是数据权限。自动为 SQL 查询添加 “WHERE 条件”,实现数据过滤。graph TDA[程序员] -->|1. 加注解 @DataScope| B(Service方法)A -->|2. XML写 ${params.dataScope}| C(SQL语句)D[用户登录] --> E[发起请求调用Service方法]
mybatis中使用map类型参数,其中key为列名,value为列值, #{params[${key}]}
qb170217的博客
04-21 1974
public interface CrawDao { public void saveNewNews(@Param("params")Map<String, String> params); } <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE mapper ...
浅谈一下MyBatis#{param}和${param}
m0_68689130的博客
08-29 732
但是在讲#{param}和${param}和以前,我要先来谈谈Mysql的预编译技术,我们都知道,当我们的SQL语句发送给MySQL服务器后,MySQL会对我们的SQL语句进行校验、解析等操作。其实我们在使用的时候只要记住,使用#{}时会在参数的整体加上单引号,然后思考一下什么情况加上单引号会出错就好了,然后就是能用#{}的地方尽量都用#{},可以防止SQL注入,同时也会使用到预编译在性能上来说也会比${}更好。又或者如果对应的参数是 "1;最终会变成下面的情况,不能提供MySQL的语法校验,最终会报错。
Mybatis参数(Parameters)传递
路在何方
06-06 6107
1.单个普通类型(基本类型、包装类型、String)的参数 封装规则:Mybatis不会做特殊的处理 取值 #{随便写,建议实际的参数名保持一致} 例如: 操作:public Employee getEmployeeById(Integer id ); 取值:#{id} <!-- 关于select 的查询语句 resulType:查询结果对应的类型 id 当前sql语句的唯一标识 #{id}...
浅谈为什么要使用mybatis的@param
08-25
"浅谈为什么要使用mybatis的@param" 在 MyBatis 中,使用 @Param 注解可以给映射器方法中的参数命名,这样可以解决多个参数时的混淆问题。下面我们来详细讲解为什么要使用 @Param 注解。 首先, lets 看一个报错的...
mysql中 ${param#param}使用区别
09-08
两种常见的方法是使用`${param}`和`#{param}`,它们在MyBatis等框架中尤其常见。这两种方式虽然都能实现参数替换,但它们在处理和安全方面存在显著差异。 `${param}`的使用方式更直接,它会将参数值原封不动地插入...
Mybatis_#{param}和${param}的区别
Chill Lyn
12-28 329
#{param} 生成的sql中将该参数使用?占位符替换,预编译后传入实际参数,使用PreparedStatement发送sql ${param}生成sql中将该参数的值直接替换到该位置的,如果是字符串一定要添加’’ 使用${param}时,即使statementType使用PREPARED,也可能出现SQL注入 建议使用statementType="PREPARED"和#{param}组合防止...
Mybatis中 ${param#param}的区别和应用场景
WZH577的博客
03-04 1043
为了安全,能用#的地方就用#方式传参,这样可以有效的防止sql注入攻击 1、#{变量名}可以进行预编译、类型匹配等操作,#{变量名}会转化为jdbc的类型 例:select * from tablename where id = #{id}; 假设id的值为12,其中如果数据库字段id为字符型,那么#{id}表示的就是'12',如果id为整型,那么id就是12。 MyBatis会将#{id...
mybatisPlus动态sql语句 ${ew.sqlSegment}详解
热门推荐
王林的博客
03-21 1万+
这里主要是介绍通过MyBatis Plus使用`${ew.sqlSegment}`进行条件分页查询示例等,方便以后查阅!!!
mybatis plus的传参#{}${}
weixin_43930851的博客
04-25 2330
java实践
mybatis-plus: #{}和${}的区别
玉汝于成
07-31 1270
MyBatis以及MyBatis-Plus中,#{}和${}都是用于在SQL语句中嵌入参数的占位符,但它们在使用方式和安全性上存在明显的区别。尽可能使用#{}来避免SQL注入的风险。在需要动态构建表名、列名等SQL元素时,才考虑使用${},但要确保传入的参数是安全的。始终牢记,安全是软件开发中最重要的考虑因素之一,特别是在处理用户输入和数据库交互时。
Mybatis #和$获取参数值的区别以及@param的使用场景
Tom098的博客
12-04 3789
Mybatis 中$#区别 1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于select id,name,age from student where id ='1'. 2 $是将传入的数据直接显示生成sql语句,eg:select id,name,ag...
MyBatis获取参数值的方式
Javaer000的博客
08-18 459
MyBatis获取参数值的方式
@Param
weixin_33698823的博客
07-26 109
PrpTmainDao.xml: <delete id="deleteInitPrpTmain" > delete from prpTmain where proposalNo=#{proposalNo} and underWriteFlag in ('0','2') </delete> PrpTmainDao : public int delete...
Mybatis(二) Mybatis#{}和${}的区别详解
10-23 4165
Mybatis系列: Mybatis(一) Mybatis入门详解 Mybatis(二) Mybatis#{}和${}的区别详解 Mybatis(三) Mybatis的Dao开发 Mybatis(四) Mybatis的高级查询 场景:假设数据库有两个数据一模一样的表。历史表,当前表 查询表中的信息,有时候从历史表中去查询数据,有时候需要去新的表去查询数据。 希望使用1个方法来完...
mybatis $ # 区别
03-14
### MyBatis 中 `$` 和 `#` 的区别MyBatis 中,`${}` 和 `${}` 是两种占位符语法,用于处理 SQL 动态拼接中的变量替换。以下是它们的区别#### 1. **基本概念** - **`#{}`**: 这是一个预编译的占位符,在执行 SQL 前会被替换成一个 JDBC 参数占位符 (`?`) 并传递给数据库驱动程序进行安全绑定[^1]。 - **`${}`**: 这是一种字符串替换机制,直接将表达式的值插入到 SQL 字符串中,不会经过任何转义或安全性检查。 #### 2. **安全性对比** - 使用 `#{}` 可有效防止 SQL 注入攻击,因为它的值被当作参数而不是原始 SQL 部分来解析和执行。 - 而 `${}` 则会直接将变量值嵌入到 SQL 中,如果输入未经过滤,则可能导致严重的 SQL 注入风险[^3]。 #### 3. **适用场景** - 当需要构建动态表名、列名或者某些固定的 SQL 片段时,可以使用 `${}`,因为它允许更灵活的字符串操作。 - 对于大多数情况下涉及用户数据的操作(如条件过滤),推荐使用 `#{}` 来提高代码的安全性和可维护性[^4]。 #### 示例代码 下面展示了两者使用的具体例子: ```xml <!-- 使用 #{param} --> <select id="selectUsers" resultType="User"> SELECT * FROM users WHERE status = #{status} </select> <!-- 使用 ${param}, 注意这里假设 tableName 已经验证过 --> <select id="selectByTableName" resultType="map"> SELECT * FROM ${tableName} </select> ``` 上述第一个示例利用了 `#{status}` 安全地传参;第二个则通过 `${tableName}` 实现了动态表切换功能[^5]。 ### 总结 总之,在实际开发过程中应优先考虑采用 `#{}` 方式以保障应用程序免受恶意注入威胁的同时还能获得更好的性能表现。只有当确实存在特殊需求无法单纯依靠问号占位完成任务的时候才谨慎选用 `${}` 方法来进行相应处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值