mybatis #{}与${}使用场景

最新推荐文章于 2025-07-16 19:59:14 发布
原创 最新推荐文章于 2025-07-16 19:59:14 发布 · 3.7k 阅读 · 4
文章标签:

##{} #${} #mybatis #sql

本文探讨了MyBatis中#{}和${}的使用场景。#{}提供预编译和防SQL注入的功能,而${}虽然易导致SQL注入,但不会对字符串参数加引,适合于特殊场景如表名动态查询。当使用#{}传入字符串参数时,可能会因额外的引号导致SQL查询错误。

${}哪边都能使用,只是存在sql注入风险,相当于直接拼接字符串,不对参数做任何处理。

#{}会进行预编译,对参数进行处理,防止注入。

对于SELECT id,name,age FROM student WHERE name = 参数;这样的语句如果传入参数anything’ OR ‘x’='x

最低0.47元/天 解锁文章

200万优质内容无限畅学
关注
专栏目录
MyBatis#$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 1932
#{}和${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
18.<Mybatis补充($#的区别+数据库连接池)>
m0_73456341的博客
10-23 1982
详解了 1.$#的区别 2.数据库连接池。 3.简单了解MySQL企业开发规范
MyBaits中#{}和${}的真正区别,${}的使用场景
2401_85767411的博客
06-28 1061
小编这些年深知大多数初中级工程师,想要提升自己,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此我收集整理了一份《2024年Java全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!如果你需要这些资料,⬅专栏获取。
MyBatis${}和 #{}的正确使用方法(千万不要乱用)
08-18
主要介绍了MyBatis${}和 #{}的正确使用方法,本文给大家提到了MyBatis${}和 #{}的区别,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
MyBatis基本使用
z2775640561的博客
07-16 923
pageNum:当前页的页码pageSize:每页显示的条数size:当前页显示的真实条数total:总记录数pages:总页数prePage:上一页的页码nextPage:下一页的页码isFirstPage/isLastPage:是否为第一页/最后一页hasPreviousPage/hasNextPage:是否存在上一页/下一页navigatepageNums:导航分页的页码,[1,2,3,4,5.....]
mybatishibernate的区别及各自应用场景
hongcaixia的博客
02-08 2774
mybatishibernate的区别及各自应用场景 Mybatis技术特点: 1、  通过直接编写SQL语句,可以直接对SQL进行性能的优化; 2、  学习门槛低,学习成本低。只要有SQL基础,就可以学习mybatis,而且很容易上手; 3、  由于直接编写SQL语句,所以灵活多变,代码维护性更好。 4、  不能支持数据库无关性,即数据库发生变更,要写多套代码进行支持,移植性不好
Mybatis应用场景
hcyxsh的博客
03-31 833
Mybatis应用场景 一 PageHelper插件进行分页 PageHelper是MyBatis中非常方便的第三方分页 插件 官方文档 https://github.com/pagehelper/MybatisPageHelper/blob/master/README_zh.md 我们可以参考文档快速使用分页插件进行开发 使用步骤 (1)导入相关包pagehelper-x.x.x.jar 和 jsqlparser0.9.5.jar。 <!-- https://mvnrepository.com
mybatis和hibernate本质区别和应用场景
Marvel__Dead 胡艺宝的博客
04-04 2487
mybatis和hibernate本质区别和应用场景Hibernatehibernate:是一个标准ORM框架(对象关系映射)。入门门槛较高的,不需要程序写sqlsql语句自动生成了。 对sql语句进行优化、修改比较困难的。应用场景: 适用需求变化不多的中小型项目,比如:后台管理系统,erp、orm、oa。。MyBatismybatis:专注是sql本身,需要程序员自己编写sql语句
MyBatisMyBatis之实用场景
winrh的博客
08-12 476
目录 一、PageHelper 1. 导入依赖 2. mybatis-config.xml加上分页插件 二、 批量插入 三、自定义类型处理器处理枚举 1. 写一个枚举类 2. mybatis-config.xml配置类型处理器 一、PageHelper PageHelper是MyBatis中非常方便的第三方分页 插件 1. 导入依赖 <dependency> <groupId>com.github.jsq...
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL...通过上面的分析,我们可以看到,Mybatis#$的处理机制是不同的,它们的使用场景和风险也不同。
浅谈mybatis中的#$的区别
09-02
- MyBatis使用`#`的方式会进行预编译处理,它会被转化为`?`,然后在执行SQL时安全地设置参数值,这样可以有效地防止SQL注入攻击。 - 预编译的SQL语句(又称参数化查询)在数据库中被预先解析,多次执行时只需要...
六、MyBatis#$ 的区别
小刺猬喜歡獨角獸
07-19 728
Mybatis#$的区别。
MyBatis 的适用场景
ConstXiong
09-24 875
直接编写 SQL,对应多变的需求改动较小 对性能的要求很高,做 SQL 的性能优化相对简单、直接 【Java面试题答案】整理推荐 基础语法 集合 网络编程 并发编程 Web 安全 设计模式 框架 算法数据结构 异常 文件解析生成 Linux MySQL Oracle Redis Dubbo ...
MyBatis#{}和${}的不同和${}的妙用
热门推荐
Marvel__Dead 胡艺宝的博客
04-14 1万+
突然意识到sql语句的独特语义要和代码分离,我们就不能够在代码中写sql语句!!比如我要用${}在MyBatissql中拼接排序类型的时候,我就不能够在Java代码中直接写参数字符串为Order By哪儿个类型#{}和${}的基本不同我就不想说了,这里要说的是进一步对占位符和字符拼接的字面语义的领悟!!#{}和${}基本不同在这篇文章的最后有提到过占位符:占位符就是在某个地方占领一个位置,把它单独
【SpringBoot】Mybatis常用场景实践总结
Robin的博客
03-27 764
mybatis代码实现方式以上三种实现方式,有自己适合的应用场景,按照4.9章节中集成方式,三种方法全部可以支持。下面是结合笔者多年的mybatis使用经验,总结出在不同的场景下,使用不同的实现方式。
MyBatis场景应用(动态SQL、模糊查询及映射结果)附(Mybatis#$的区别)
ChatYU的博客
08-23 612
MyBatis中的动态SQL是指在SQL语句中根据不同的条件动态生成不同的SQL片段,从而实现灵活的查询和更新操作。动态SQL使得我们能够根据不同的情况生成不同的SQL语句,避免了编写大量重复的SQL语句,提高了代码的可维护性和可读性resultType和resultMap是Mybatis中映射查询结果的两种方式resultTyperesultType是一种简单的映射方式,用于指定查询结果的目标类型。你可以通过指定目标类型的全限定名或简单类型名来使用它。例如,如果你有一个User类,你可以使用
MyBatis的几种应用场景
weixin_34396103的博客
10-24 436
2019独角兽企业重金招聘Python工程师标准>>> ...
Mybatis应用场景详解——学会在开发中真正应用
Czh的博客
02-15 1764
关于mybatis在实战中的应用的详解
mybatis 使用场景及优缺点 知识总结(八)
老码不识途的博客
09-10 374
1. Mybatis和hibernate不同,它不完全是一个ORM框架,因为MyBatis需要程序员自己编写Sql语句,不过mybatis可以通过XML或注解方式灵活配置要运行的sql语句,并将java对象和sql语句映射生成最终执行的SQL,最后将SQL执行的结果再映射生成的Java对象。   2. Mybatis学习门槛低,简单易学,程序员直接编写原生态sql,可严格控制sql执行性能,灵...
mybatis#$
最新发布
08-24
MyBatis 中,`#{}` 和 `${}` 是两种用于处理参数的语法,它们的主要区别在于 SQL 注入安全性、参数处理方式以及使用场景。 - `#{}` 是预编译占位符,MyBatis 会将其视为 JDBC `PreparedStatement` 中的参数标记。使用 `#{}` 时,MyBatis 会自动对参数进行类型处理和安全转义,从而有效防止 SQL 注入问题。这种写法适用于大多数参数传递场景,尤其是在需要将用户输入作为查询条件时[^1]。 ```sql SELECT * FROM users WHERE username = #{username}; ``` 上述语句中,`#{username}` 会被替换为 `?`,然后通过 `PreparedStatement` 设置参数值。 - `${}` 是字符串替换占位符,MyBatis 会将其直接替换为参数值,不做任何转义或预编译处理。这种方式适用于需要动态拼接 SQL 片段的场景,例如动态表名、列名等。但正因为不做处理,`${}` 存在 SQL 注入风险,使用时需格外谨慎。 ```sql SELECT * FROM ${tableName} WHERE id = #{id}; ``` 在该语句中,`${tableName}` 会被直接替换为传入的表名字符串,而 `#{id}` 则仍作为安全参数处理。 ### 使用建议 - 优先使用 `#{}` 来处理参数,以确保 SQL 安全性。 - 只有在确实需要拼接 SQL 片段(如动态表名)时,才使用 `${}`,并且应确保传入的值是可信的或经过严格校验。 ### 示例对比 使用 `#{}` 的 SQL 语句: ```sql SELECT * FROM users WHERE id = #{id}; ``` 如果 `id = 123`,最终生成的 SQL 是: ```sql SELECT * FROM users WHERE id = ?; -- 参数绑定:123 ``` 使用 `${}` 的 SQL 语句: ```sql SELECT * FROM ${tableName} WHERE id = #{id}; ``` 如果 `tableName = "users"`,`id = 123`,最终生成的 SQL 是: ```sql SELECT * FROM users WHERE id = ?; -- 参数绑定:123 ``` ### 总结 `#{}` 和 `${}` 的核心区别在于是否进行预编译处理。`#{}` 提供了更高的安全性和更稳定的参数处理机制,而 `${}` 则提供了更灵活但风险更高的字符串替换功能。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值