MyBatis中#{}和${}的区别

最新推荐文章于 2025-03-22 16:06:09 发布
最新推荐文章于 2025-03-22 16:06:09 发布
阅读量8.4w 收藏 868
点赞数 259
分类专栏: MyBatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/siwuxie095/article/details/79190856
版权

------------------------siwuxie095

  

  

  

  

  

  

  

  

MyBatis 中 #{} 和 ${} 的区别

  

  

1、在MyBatis 的映射配置文件中,动态传递参数有两种方式:

  

1#{} 占位符

  

2${} 拼接符

  

  

  

2#{} ${} 区别

  

1

  

1#{} 为参数占位符 ?,即sql 预编译

  

2${} 为字符串替换,即 sql 拼接

  

  

2

  

1)#{}:动态解析 -> 预编译 -> 执行

  

2${}:动态解析 -> 编译 -> 执行

  

  

3

  

1#{} 的变量替换是在DBMS

  

2${} 的变量替换是在 DBMS

  

  

4

  

1)变量替换后,#{} 对应的变量自动加上单引号 ''

  

2)变量替换后,${} 对应的变量不会加上单引号 ''

  

  

5

  

1#{} 能防止sql 注入

  

2${} 不能防止sql 注入

  

  

  

  

3、#{} 和 ${} 的实例:假设传入参数为 1

  

1)开始

  

1#{}:select * from t_user where uid=#{uid}

  

2${}:select * from t_user where uid= '${uid}'

  

  

2)然后

  

1#{}:select * from t_user where uid= ?

  

2${}:select * from t_user where uid= '1'

  

  

3)最后

  

1#{}:select * from t_user where uid= '1'

  

2${}:select * from t_user where uid= '1'

  

  

  

  

4#{} ${} 的大括号中的

  

1单个参数的情形

  

1)#{}

  

MyBatis 默认值,可任意,且与参数名无关

  

  

  

  

2${}

  

<1>使用 MyBatis 默认值 value,即 ${value}

  

  

  

  

<2>使用自定义参数名,前提:在映射器接口方法的参数前加注解@Param("")

  

  

  

  

  

2多个参数的情形

  

1)#{}

  

<1>使用MyBatis 默认值 arg0、arg1、arg2 … 或 param1、param2、param3 …

  

  

  

  

<2>使用自定义参数名,前提:在映射器接口方法的参数前加注解@Param("")

  

  

  

  

2${}

  

<1>使用MyBatis 默认值 arg0、arg1、arg2 … 或 param1、param2、param3 …

  

  

  

  

<2>使用自定义参数名,前提:在映射器接口方法的参数前加注解@Param("")

  

  

  

  

注:@Param("")@Param(value="") 的简写

  

  

  

  

5#{} ${} 在使用中的技巧和建议

  

1)不论是单个参数,还是多个参数,一律都建议使用注解@Param("")

  

2)能用 #{} 的地方就用 #{},不用或少用 ${}

  

3)表名作参数时,必须用 ${}。如:select * from ${tableName}

  

4)order by 时,必须用 ${}。如:select * from t_user order by ${columnName}

  

5)使用 ${} 时,要注意何时加或不加单引号,即 ${} '${}'

  

  

  

  

  

  

  

  

  

  

【made by siwuxie095】

Mybatis中的#$区别
qq_27811247的博客
06-22 4万+
在学校的时候,想必大家肯定听老师讲过,在mybatis中,配置参数要用#,不要用$符号。因为$不安全,容易被sql注入。讲是这么讲,但是如何注入的,大家一起来看看吧。 一:下面我们写个关于“#”的个sql,看能不能注入。 <select id="selectUser" resultMap="BaseResultMap"> SELECT ...
mybatis中的#$区别
Howard的博客
09-22 3万+
简介     MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置映射原生信息,将接口 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。      动态 sql
mybatis#$区别
灰太狼
03-22 2万+
mybatis接口mapper文件中引用传入的参数是通过#{param}或者${param}来使用的。1.数据类型匹配#:会进行预编译,而且进行类型匹配$:不进行数据类型匹配2.实现方式 #:用于变量替换$:实质上是字符串拼接3.#$的使用场景(1)变量的传递,必须使用#,使用#{}就等于使用了PrepareStatement这种占位符的形式,提高效率。可以防止sql注入等等问题。#方式一般用...
MyBatis#{} ${} 的区别详解
最新发布
秃头之旅
03-22 1488
MyBatis 是一个优秀的持久层框架,它简化了数据库操作,并提供了强大的 SQL 映射功能。在 MyBatis 中,#{}${}是两种常用的占位符,用于动态替换 SQL 语句中的参数。尽管它们看起来相似,但它们在处理方式安全性上有显著的区别。本文将详细探讨#{}${}的区别,并分析它们的适用场景。
Mybatis$#区别
weixin_30652491的博客
10-10 135
1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于select id,name,age from student where id ='1'. 2 $是将传入的数据直接显示生成sql语句,eg:select id,name,...
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$区别 在...
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis中的#$区别
09-02
MyBatis中,`#``$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
MyBatis#$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 1849
#{}${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
Mybatis下动态sql中##$$区别讲解
08-26
Mybatis下动态sql中##$$区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis中,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis中,使用...
Mybatis#{}${}的区别是什么?
weixin_52222660的博客
04-23 1331
mybatis编写SQL语句的时候,经常需要用到,那么用来替换变量值的操作这两个符号,同样在一些Java面试中也经常被问到它们的区别。那么它们在使用上面有什么区别呢?
mybatis$#区别
CollectorAndCreator
03-22 285
#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”.    将传入的数据直接显示生成在sql中。如:orderby将传入的数据直接显示生成在sql中。如:order by user_id$,如果传入的值
Mybatis#{}${}有什么区别
陌子曦的专栏
03-25 3924
一般说来,二者的区别可总结为以下6点:(1)#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111",如果传入的值是id,则解析成的sql为order by "id"。(2)$将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,...
MyBatis#{}${}有什么区别
一个双子座的Java攻城狮
12-27 130
{}是预编译处理,MyBatis 在处理#{}时,它会将 sql 中的#{}替换为?,然后调用 PreparedStatement 的 set 方法来赋值;调用 preparedStatement 的 setString 方法传入参数可以防止 sql 注入,安全性更高。${}是字符串替换,MyBatis 在处理${}时,它会将 sql 中的${}替换为变量的值。这样,MyBatis 就不会修改或转义该字符串了。
MyBatis#{}${}的区别详解 区别
憧憬的专栏
05-19 434
区别 #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”. 将传入的数据直接显示生成在sql中。如:orderby将传入的数据直接显示生成在sql中。如:orderbyuser_id$,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sql为
mybatis $ # 区别
程序员写的技术 FAQ 和杂文
08-16 4245
# 字符串处理,加单引号      可一定程度的防注入。 $ 直接引用不做处理,比如数字 如果SQL 中的数字字段也用 # 的话。SQL 执行时就需要转义,多了一些无用的性能损耗。 参考: http://www.cnblogs.com/hellokitty1/p/6007801.html http://blog.sina.com.cn/s/blog_5c5bc90701
Mybatis#{}与${}的区别
热门推荐
宜春
07-24 4万+
mybatis中动态 sql 是其主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在执行操作之前 mybatis 会对其进行动态解析。mybatis 提供了两种支持动态 sql 的语法:#{} 以及 $ {},其最大的区别则是#{}方式能够很大程度防止sql注入(安全),${}方式无法防止Sql注入。什么??不懂什么是Sql注入?额。。。Sql注入指的是程序解析时会将你传入的参...
mybatis # $ 区别
hello__word__的博客
10-15 486
#{}: 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符 。    ${}: 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。   name-->cy  eg:  select id,name,age from student where name=#{name}   -- name
mybatis#$区别
12-30
### MyBatis 中 `#` `$` 符号的区别 #### 占位符功能差异 在 MyBatis 中,`#{}` `${}` 都可以作为占位符来插入参数到 SQL 语句中。然而两者的工作机制存在显著不同。 当使用 `#{}` 形式的占位符时,MyBatis 将其视为预处理语句 (PreparedStatement) 的参数绑定方式[^1]。这意味着实际的 SQL 发送到数据库之前会先由 JDBC 进行一次转义处理,从而有效防止 SQL 注入攻击的发生。 而采用 `${}` 方式,则是直接替换模板中的变量名为其对应的值字符串,并不做任何额外的安全检查或转换操作[^2]。因此,在某些特殊情况下可能会引入潜在风险。 #### 使用场景对比 由于上述特性上的差别,这两种语法适用于不同的编程环境: - 对于大多数常规查询条件构建而言,推荐优先选用 `#{}` 结构以增强应用程序的整体安全性; - 当遇到一些无法通过标准 API 实现的需求——比如表名、列名动态指定等情况时,则可能不得不借助 `${}` 完成相应逻辑编码工作;不过此时应当格外谨慎对待输入验证环节[^3]。 #### 示例代码展示 下面给出一段简单的例子说明如何分别运用这两种表达形式编写 Mapper XML 文件内的 SELECT 语句: ```xml <!-- 正确做法 --> <select id="findUserById" parameterType="int" resultType="com.example.User"> SELECT * FROM users WHERE user_id = #{userId} </select> <!-- 错误示范:容易遭受注入威胁 --> <select id="findByTableName" parameterType="string" resultType="map"> SELECT * FROM ${tableName} <!-- 不建议这样写 --> </select> ```
评论 35
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值