mybatis的#{}占位符和${}拼接符

最新推荐文章于 2024-01-12 00:28:00 发布
最新推荐文章于 2024-01-12 00:28:00 发布
阅读量2.9k 收藏 8
点赞数 1
分类专栏: Java 文章标签: sql 数据库 sqlserver
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u010365819/article/details/122487966
版权

#{}占位符:占位

使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句中如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且在使用#{}时形成的sql语句,已经带有引号,例,select * from table1 where id=#{id} 在调用这个语句时我们可以通过后台看到打印出的sql为:select * from table1 where id=‘2’ 加入传的值为2.也就是说在组成sql语句的时候把参数默认为字符串。

如果传入的是基本类型,那么#{}中的变量名称可以随意写
如果传入的参数是pojo类型,那么#{}中的变量名称必须是pojo中的属性.属性.属性…

${}拼接符:字符串原样拼接
如果传入的是基本类型,那么${}中的变量名必须是value
如果传入的参数是pojo类型,那么${}中的变量名称必须是pojo中的属性.属性.属性…
注意:使用拼接符有可能造成sql注入

使用${}时的sql不会当做字符串处理,是什么就是什么,如上边的语句:select * from table1 where id=${id} 在调用这个语句时控制台打印的为:select * from table1 where id=2 ,假设传的参数值为2

从上边的介绍可以看出这两种方式的区别,我们最好是能用#{}则用它,因为它可以防止sql注入,且是预编译的,在需要原样输出时才使用${},如,

select * from ${tableName} order by ${id} 这里需要传入表名和按照哪个列进行排序 ,加入传入table1、id 则语句为:select * from table1 order by id

如果是使用#{} 则变成了select * from ‘table1’ order by ‘id’ 我们知道这样就不对了。

另,在使用以下的配置时,必须使用#{}

<select id="selectMessageByIdI" parameterType="int" resultType="Message">
    select * from message where id=#{id};
</select>


在parameterType是int时,sql语句中必须是#{}。

<!-- 
id:sql语句唯一标识 
parameterType:指定传入参数类型
resultType:返回结果集类型
#{}占位符:起到占位作用,如果传入的是基本类型(string,long,double,int,boolean,float等),那么#{}中的变量名称可以随意写.
#{}:如果传入的是pojo类型,那么#{}中的变量名称必须是pojo中对应的属性.属性.属性.....
-->
<select id="findUserById" parameterType="int" resultType="cn.itheima.pojo.User">
       select * from user where id=#{id}
</select>

<!-- 
${}拼接符:字符串原样拼接,如果传入的参数是基本类型(string,long,double,int,boolean,float等),
那么${}中的变量名称必须是value
${}:如果传入的参数是pojo类型,那么`${}`中的变量名称必须是pojo中的属性.属性.属性...
注意:拼接符有sql注入的风险,所以慎重使用
 -->
<select id="findUserByUserName" parameterType="string" resultType="user">
    select * from user where username like '%${value}%'
</select>


  •  
MyBatis动态拼接SQL
04-08
MyBatis动态拼接SQL
MyBatis 动态拼接Sql字符串的问题
09-01
MyBatis的动态SQL,解决了SQL字符串拼接的痛苦。下文分步骤给大家详细介绍了MyBatis 动态拼接Sql字符串的问题,非常不错,感兴趣的朋友一起看下吧
Mybatis占位符拼接符
weixin_30270561的博客
07-29 332
1.占位符 1.1 含义: 在持久化框架中,为了将约束条件中的可变参数sql中分离出来,在原有的参数位置使用特殊的标记来标记该位置,后期通过代码给sql传递参数(即实现sql与代码分离开)。这个特殊的标记被称为占位符。 1.2 优点: 1.2.1 防止sql注入,提高了安全性 1.2.2 对于只有参数不同的sql语句,...
MyBatis#{}占位符${}拼接符的使用
pan_junbiao的博客
12-02 7947
1、关于#{}占位符 先来看以下的示例,该示例是MyBatis中的SQL映射配置文件(Mapper配置文件),在该配置中使用了#{}占位符。 <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" ...
mybatis中`${}`使用【特殊SQL
weixin_47267628的博客
05-04 1985
特殊SQL的执行 1.模糊查询【重点】 由于模糊查询传入是一个字符串 模糊查询的三种方式 方式一:%${值}% 方式一:注意是一定不能使用#{}没有拼接字符串的作用,会直接当作为%#{值}%一个字符串,所以会报错 select * from t_user where username like '%${username}%'; 方式二:concat('%',#{值},'%') 使用concat函数,来拼接字符串 select * from t_user where username like conca
06MyBatis技巧(#{}${}/)
最新发布
m0_46671240的博客
01-12 1016
CarMapper.xml,放在类的根路径下:注意namespace必须接口名一致。id必须接口中方法名一致。
Mybatis参数占位符
weixin_44082260的博客
05-30 1689
mybatis支持参数占位符 不过JDBC的不同,JDBC是?,而mybatis对于字符参数非 字符参数提供了两种不同的参数占位符,非字符使用#{},而字符类型的参数则要使用${} 当使用模糊查询的时候,如果我们要使用参数占位符,那么必须要使用${}的形式, 因为模糊查询的时候,我们的参数是字符类型的 而#{}参数占位符只能连接非字符形式的参数,而如果我们要使用字符串的参数占 位符的时候,我们...
MyBatis#{} ${} 的区别
liuyuinsdu的专栏
03-12 1430
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS中 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
MyBatis单表查询——参数占位符${}#{}、SQL注入、like查询
LYJbao的博客
03-25 2426
目录前言: 1、参数占位符${}#{}2、SQL注入 3、${}的优点小结:$ VS #:4、like查询 解决方案,使用MySQL的内置函数concat()来处理 以下文章,对于没有接触过Mybatis的小伙伴来说,需要看完这篇文章才可以继续向下执行:http://t.csdn.cn/nGTFZ其次,我们为了更好地观察出现的问题,可以在配置文件中,配置打印MyBatis的执行SQL: 1、参数占位符${}#{} 我们在mapper的.xml文件中,进行数据库SQL语句编
Mybatis】-mybatis中传递参数时,会加上单引号
在这个充满危险的乱世之中,只有学会烤鸡才能顽强的活下去。
12-04 5490
一、项目描述 今天对项目进行改BUG的时候,遇到了一个查找数据的时候,总是不对,于是自己就开始DEBUG,但是发现传入的参数也都没有问题啊,所以想到不是代码的问题,那就是sql的问题。 于是我就跟着断点一步一步的走,发现sql语句好像也没有错,自己就查了查相关的知识。 二、解决方案 将#改成$符号 三、相关知识 (1)使用#{参数}传入会加上单引号,sql语句解析是会加上'', select * from table where name = #{name} 比如...
MyBatis拼接字符串的几种方式
热门推荐
qq_34786108的博客
04-04 1万+
MyBatis拼接字符串的几种方式
MyBatis${} #{}的正确使用方法(千万不要乱用)
08-18
主要介绍了MyBatis${} #{}的正确使用方法,本文给大家提到了MyBatis${} #{}的区别,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Mybatis 参数拼接 #{} ${}
ybbgrain的历程
12-29 1104
概述 在服务的使用"%"+target+"%"这种方式直接拼接参数上面会有SQL注入的风险,但是在sql层面取拼接参数就不会。 mybatis拼接参数使用方式 like concat(concat("%",#{districtName}),"%")
Mybaits 传入参数时带引号(#{parameter})与不带引号(${parameter})的两种写法
piscesL6的博客
05-13 5508
MyBatis 传入参数时的两种方式: 方式一: 接收的参数会包含引号,mybatis写法: #{parameter}。 方式二:接收的参数直接拼接SQL 中,不会自动添加引号,mybatis写法:${parameter}。 方式二通常用于在SQL中直接拼接语句:比如动态拼接 order by ${parameter} ...
Mybatis-占位符#{}${}的使用说明
m0_37965811的博客
05-31 2679
1、占位符 #{}是占位符${}是拼接符#{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”. ${}将传入的数据直接显示生成在sql中。如:order by ${user_id},如果传入的值是111,那么解析成sql时的值为order by 111, 如果传入的值是id,则解析成的sql为orde
阶段二-MyBatis动态拼接sql
weixin_45732755的博客
11-16 465
MyBatis动态拼接sql
Mybatis中的#{}${}格式的占位符理解
L315_325的博客
10-17 425
在使用Mybatis时,在SQL语句中的参数,可以使用#{}或${}格式的占位符
mybatis 拼接_关于 Mybatis$ # , 你真的知道他们的细节吗?
weixin_39580715的博客
12-09 794
前言在JDBC中,主要使用的是两种语句,一种是支持参数预编译的PrepareStatement,能够支持原生的Sql,也支持设置占位符的方式,参数化输入的参数,防止Sql注入,一种是支持原生Sql的Statement,有Sql注入的风险。在使用Mybatis进行开发过程中,隐藏了底层具体使用哪一种语句的细节,我们通过使用#$告诉Mybatis,我们实际上进行的是怎么样的操作,需要对语句进行参...
【MybBatis细节篇】MyBatis#{}${}的区别
输入技术、输出想法
12-02 4897
MyBatis#{}${}的区别#{} ${} 的区别#{} ${} 的实例:假设传入参数为 1#{} ${} 的大括号中的值单个参数的情形#{}${}多个参数的情形#{}${}#{} ${} 在使用中的技巧建议 在MyBatis 的映射配置文件中,动态传递参数有两种方式: 1、#{} 占位符 2、${} 拼接符 #{} ${} 的区别 区别1 #{} 为参数占位符 ?,即sql 预编译 ${} 为字符串替换,即 sql 拼接 区别2、 #{}:动态解析 -> 预编译
mybatis #{} ${}使用场景
08-24
MyBatis中,#{}${}是两种不同的占位符使用方式。 #{}用于传递参数,它会将传递的参数值安全地替换到SQL语句中,以防止SQL注入攻击。在SQL执行过程中,#{}会将参数值进行预编译处理,生成一个占位符,并使用PreparedStatement对象来执行SQL语句,这样可以提高执行效率。因此,#{}在编写动态SQL时是更安全推荐的方式。 ${}则是直接将参数拼接SQL语句中,没有经过预编译处理。这种方式适用于一些特殊情况,比如在表名、列名等需要动态拼接的地方。但是,由于没有预编译处理,可能存在SQL注入的风险,所以在使用${}时需要特别小心,确保传递的参数是可信的。 综上所述,#{}${}的使用场景可以总结如下: - 使用#{}时,适用于传递参数的情况,可以提高SQL执行效率,并且避免SQL注入攻击。 - 使用${}时,适用于一些需要动态拼接的场景,但需要注意防止SQL注入,确保传递的参数是可信的。 <span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Mybatis #$获取参数值的区别以及@param的使用场景](https://blog.youkuaiyun.com/Tom098/article/details/103381901)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [Mybatis#$的区别](https://blog.youkuaiyun.com/m0_52388979/article/details/125720091)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值