MyBatis 中#与$的区别

最新推荐文章于 2025-04-03 19:17:09 发布
最新推荐文章于 2025-04-03 19:17:09 发布
阅读量2.2w 收藏 42
点赞数 15
分类专栏: mybatis 文章标签: mybatis #参数绑定 参数绑定 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u011519624/article/details/54674670
版权

  今天在工作中有个点击排序的功能调试了许久,终寻因,总结之。
  需求是这样的,页面有个table,有一列的上下箭头可点击并排序。对于这种需求,我的mybatis.xml的sql配置写成了如下:

<if test="map.ColumnNameSort!=null and map.ColumnNameSort!=''">
  ORDER BY columnName #{map.ColumnNameSort}
</if>

  ColumnNameSort即前端传的排序方式,asc或者desc。

  然后,预计它的输出应该是类似于下面这样的

ORDER BY columnName desc

  但是,真正跑起来时,排序的效果一直没出现,经常一番查找,发现是mybatis 的’#{}’传值的问题,它将sql语句编译成了如下

ORDER BY columnName 'desc' 或者 ORDER BY columnName 'asc'

  这样,desc或者asc就成了字符串而不是关键字,sql语句的意思是columnName的别名是desc或者asc,没加排序关键字时默认是正序排序,成了如下

ORDER BY columnName "desc" asc 或者 ORDER BY columnName "asc" asc

  排序没效果的问题找到原因了,解决之,mybatis提供了另一种绑定参数的方式–${param},将sql配置改为

ORDER BY columnName ${map.ColumnNameSort}

  这样一来,mybatis会直接将ColumnNameSort的值加入sql中,不会转义。正确结果:

ORDER BY columnName desc

  最后,对于mybatis中#和$绑定参数的区别做个总结,避免以后类似的问题发生。

  1. #{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #{id},如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”。

  2. ${}将传入的数据直接显示生成在sql中。如:order by
    ${id},如果传入的值是111,那么解析成sql时的值为order by 111, 如果传入的值是id,则解析成的sql为order
    by id。

  3. #方式能够很大程度防止sql注入。

  4. $方式无法防止Sql注入。

  5. $方式一般用于传入数据库对象,例如传入表名.

  6. 一般能用#的就别用$.

ps:在使用mybatis中还遇到<![CDATA[]]>的用法,在该符号内的语句,将不会被当成字符串来处理,而是直接当成sql语句,比如要执行一个存储过程。

mybatis#$使用和区别
学无止境
02-27 1108
mybatis#$使用和区别
MyBatis#{}和${}的用法
时代各有不同,青春一脉相承。
12-31 809
MyBatis#{}和${}的用法 区别#{}方式能够很大程度上防止sql注入,${}无法防止sql注入。${}方式一般用于传入数据库对象,例如列表和表名,#{}方式一般用来传递接口传输过来的具体数据。由于#{}方式具有更高的安全行,所以能用#{}的地方尽量不要使用${}。Mybatis排序时使用order by动态参数时需要注意,用${}而不是#{}。
Mybatis#$区别
dingqinghu的专栏
05-30 1万+
#$区别#号表示参数$代表一个字符串。如: select a,b,c from table1 where id=#value#,传入参数后如:value="1", 则可生成:select a,b,c from table1 where id=‘1’。 select a,b,c from table1 where city like '%$value$%',传入参数后: valu
MyBatis:开源、轻量级的数据持久化框架
最新发布
_Djhhh` blog
04-03 1651
MyBatis是一个优秀的半自动化持久层框架,简化了数据的操作,同时又保留了对SQL的高度自定义,兼容了灵活性和易用性,便于我们的开发。
MyBatis#$区别
脚印
01-03 1158
#相当于对数据加上双引号,$相当于直接显示数据 #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sq 时的值为:order by “111”;如果传入的值是id,则解析成的sql为:order by “id” $将传入的数据直接显示生成在sql中。如:order by useriduser_iduser...
Mybatis#$区别
伏颜的博客
07-11 2万+
Mybatis#$区别
MyBatis#{}和${}的区别
学无止境
04-13 508
(1)#{} 在xxMapper.xml文件中,查询语句如下: <select id="selectUser" resultType="mybatis.entity.User"> select * from user where username= #{username} </select> 此时,在mybatis执行该语句前,会将该查询编译成“...
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #$区别...
Mybatis#{}和${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
MyBatis#$符的区别sql注入问题,动态sql语句
m0_73381672的博客
02-06 1844
#{}和${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
浅谈mybatis中的#$区别
09-02
MyBatis中,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
MyBatis#$区别
阿顾的博客
06-27 1313
$符号的用法 场景:用户数据特别多,需要把用户数据分表存储,user1表和user2表;查询表中的信息,有时需要从user1表中查,有时需要从user2表中查,现在想用一个方法完成。 在UserMapper接口中增加一个根据表名查询用户的方法: /** * 根据表名查询用户信息 * @param tableName * @return */ ...
mybatis#$区别
热门推荐
10-09 7万+
MyBatis/Ibatis中#$区别 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".   2. $将传入的数据直接显示生成在sql中。如:order by $us
MyBatis#$区别
m0_67514201的博客
07-22 442
如orderby#user_id#,如果传入的值是111,那么解析成sql时的值为orderby'111',如果传入的值是id,则解析成的sql为orderby'id'。如orderby$user_id$,如果传入的值是111,那么解析成sql时的值为orderby111,如果传入的值是id,则解析成的sql为orderbyid.效果是把sql语句和${}里面的内容拼接起来。2.3${}占位符的值,因为使用的字符串连接方式,有sql注入的风险,存在代码安全的问题;...
Mybatis中的#$区别
u011062735的博客
10-22 268
Mybatis中的#$区别Mybatis的mapper中,参数传递有2种方式,一种是#{}另一种是${},两者有很大区别#{}实现的是sql语句的预处理参数,之后执行sql中用?号代替,使用时不需要关注数据类型,Mybatis自动实现数据类型的转换。并且可以防止sql注入。 ${}实现是sql语句的直接拼接,不过数据类型转换,需要自行判断数据类型。不能防止sql注入。 有些情况必须使用${},举个例子;在分表存储的情况下,我们从那张表查询是不确定的,也就是说sql语句不能写死,表名是动态的,查询
mybatis#$区别
12-30
### MyBatis 中 `#` 和 `$` 符号的区别 #### 占位符功能差异 在 MyBatis 中,`#{}` 和 `${}` 都可以作为占位符来插入参数SQL 语句中。然而两者的工作机制存在显著不同。 当使用 `#{}` 形式的占位符时,MyBatis 将其视为预处理语句 (PreparedStatement) 的参数绑定方式[^1]。这意味着实际的 SQL 发送到数据库之前会先由 JDBC 进行一次转义处理,从而有效防止 SQL 注入攻击的发生。 而采用 `${}` 方式,则是直接替换模板中的变量名为其对应的值字符串,并不做任何额外的安全检查或转换操作[^2]。因此,在某些特殊情况下可能会引入潜在风险。 #### 使用场景对比 由于上述特性上的差别,这两种语法适用于不同的编程环境: - 对于大多数常规查询条件构建而言,推荐优先选用 `#{}` 结构以增强应用程序的整体安全性; - 当遇到一些无法通过标准 API 实现的需求——比如表名、列名动态指定等情况时,则可能不得不借助 `${}` 完成相应逻辑编码工作;不过此时应当格外谨慎对待输入验证环节[^3]。 #### 示例代码展示 下面给出一段简单的例子说明如何分别运用这两种表达形式编写 Mapper XML 文件内的 SELECT 语句: ```xml <!-- 正确做法 --> <select id="findUserById" parameterType="int" resultType="com.example.User"> SELECT * FROM users WHERE user_id = #{userId} </select> <!-- 错误示范:容易遭受注入威胁 --> <select id="findByTableName" parameterType="string" resultType="map"> SELECT * FROM ${tableName} <!-- 不建议这样写 --> </select> ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值