Mybatis#{}和${}传值的区别

最新推荐文章于 2025-06-11 13:29:16 发布
原创 最新推荐文章于 2025-06-11 13:29:16 发布 · 457 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解析了MyBatis中#与$符号在SQL语句中的不同作用,#用于预编译参数,防止SQL注入,而$则直接进行字符串替换。文章强调了#在安全性上的优势及在特定场景下$的必要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#是需要进行编译的,是字符串进行编译之后在放入到sql中,而$是直接进行字符串的替换工作
1 #是将传入的值当做字符串的形式 select id,name from user where id = #{id}相当于
select id,name from user where id = ‘1’
2 $是将传入的数据直接显示生成sql语句 select id,name from user where id = ${id}相当于
select id,name from user where id = 1
3 使用#可以很大程度上防止sql注入。(语句的拼接)
防止Sql注入意思是:在Controller中Mapper层有参方法中参数异常改变。
4 但是如果使用在order by 中就需要使用 $.
#{}: 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符 。
${}: 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。

MyBatis框架之#{}${}参数
小汤圆
02-21 115
#{}${}参数
深入理解MyBatis中的#{ }${ }占位符及参数递过程
IT小辉同学
01-18 1678
MyBatis是一个广泛使用的持久层框架,它以其强大的数据库访问能力灵活的SQL映射配置而著称。在MyBatis中,#{ } ${ } 是两种常用的占位符,用于构建动态的SQL语句。本文将深入研究这两种占位符的用法、区别,并详细探讨参数在MyBatis中的接受过程。通过本文的介绍,希望能够更深入地理解这两种占位符在MyBatis中的应用差异,并在实际项目中选择合适的占位符来构建动态SQL语句。占位符,特别是涉及用户输入的地方,以确保SQL的安全性。方法的参数中获取的。在实际项目中,推荐使用。
Mybatis - #{}及${}区别
青松与小红花
10-11 454
别人的总结:点击打开链接 简单总结下: 1.#{}会将入的转译成字符串,安全。 2.${}不会修改或转译入的,可能会产生sql注入攻击。通常是需要入数据库对象的情况下使用,比如入表名,字段名(order by后使用较多)。
sql的#{}${}的区别
最新发布
EI_Psy_Congroo_的博客
06-11 187
MyBatis中${}#{}的区别${}是直接替换SQL中的参数,可能引发SQL注入风险,适合需要原样插入的场景;#{}则采用预编译机制,会自动处理字符串引号,更加安全。例如${value}会直接替换,而#{value}会转为预编译参数。实际开发中应优先使用#{}以防注入,仅在需要动态表名等特殊场景使用${}。
mybatis ${} #{}
wlphyl的专栏
09-04 1078
一、 $ #的区别: 规则一:能使用 ${ } 的地方就能用 #{ } 规则二:表名作为变量时,必须使用 ${ } 参考链接 二、 单一参数: 异常问题:“There is no getter for property named 'num' in 'class java.lang.String'。” 解决方法:无论参数名,都要改成"_parameter"。
mybatis中参模式#{}与${}的区别
qq_43899415的博客
01-04 393
MyBatis中使用parameterType向SQL语句参,parameterType支持的类型可以是基本类型int,String,HashMapjava自定义类型。 在SQL中引用这些参数的时候,可以使用两种方式: #{parameterName} ${parameterName} 情况一:只用 #{} <select id="getUserByNameAndPsw" resultType="com.hotel3.model.User"> select * from USER
mybatis ${},#{}两种区别
weixin_43034862的博客
07-03 259
#{}拿到之后,拼装sql,会自动对添加单引号”${}则把拿到的直接拼装进sql,如果需要加单引号”,必须手动添加,一般用于动态入表名或字段名使用,同时需要添加属性statementType=”STATEMENT”,使用非预编译模式。 查询表明动态变换时可以使用${}方式入表名 查询排序order by XXX时使用${}方式 凡是不需要单引号的参数参 都要使用${}方式 使用#可以很大程度上防止sql注入 #{param} :以预编译的形式,将参数设置到sql语句中,Prepare.
MyBatis-- 浅谈SQL中 #、$参数的动态解析过程
JustinQin
06-13 1648
目录 一、学习背景 二、语句过程(Mybatis) 三、过程分析 3.1 sql动态解析 3.2sql 预编译 3.3 DBMS(执行) 四、sql字符串拼接 4.1 ${}写法 4.2 #{}写法 五、引号问题 5.1 #{}带引号 5.2 ${}不带引号 六、sql注入问题 实例1:字段名注入 实例2:表名注入 七、总结 学习资料 引号说明 一、学习背景...
MyBatis入门十二:预防SQL注入攻击;(${}#{}的区别
小枯林的博客
05-08 593
本篇博客的内容不多,就一条:大部分情况下,使用#{}预编译的手段,而不是用${}原文。 目录 0.SQL注入攻击简介 & #{}${}简介 1.使用${}原文这种取方式: 2.使用#{}预编译这种取方式: 3.So,#{}预编译这种方式这么给力,为什么还需要${}原文这种方式嘞? 0.SQL注入攻击简介 & #{}${}简介 具体可参考:JDBC入门六:SQL注入攻击:什么是SQL注入攻击?;Java中引号嵌套的分析; 在实际应...
Mybatis疑难事件簿:‘#‘递布尔无效问题
m0_66491772的博客
01-20 829
一、问题现场   MySQL自5.7版本就开始提供JSON类型,本次问题就是在使用JSON类型时出现的MySQL服务可以正常查询而使用Mybatis查询失效问题。   具体表现为在使用Mybatis(这里需要注意一下,笔者实际使用了其增强版Mybatis-Plus)按照JSON类型字段中某个key的指定value进行条件查询时出现无法查询出结果,在参数递时使用了'#'进行变量递,查询代码如下: @Select("select * from `task_info` where task..
MyBatis复习(四):#{}占位符与SQL
想好了就去做吧 即便失败了 至少这条路上留下了你的脚印
05-17 543
MyBatis处理#{},是通过PreparedStatement的set方法来赋(Stirng类型参数在解析时会自动加上双引号,其它数据类型则不加双引号),可以有效的防止SQL注入,提高系统安全性
mybatis #$区别
qq_36849690的博客
10-12 1278
动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。   在下面的语句中,如果 username 的为 zhangsan,则两种方式无任何区别: select * from user where name
各种区别
公会驻地
07-16 158
属性与block区别: 属性自己创建属性,通过属性从别的地方获取实参,block自己创建属性,自己对属性实参,供其它地方使用这个实参。 属性:在本controller中创建属性,其它controller调用这个属性,从其它controller中获取实参 block:在本controller中创建属性,并且在本controller中对这属性参数...
Mybatis中递的三种方式
浅时光|初如梦
07-06 1644
1.前言 本案例中,所用的的数据表,bean,Mybatis数据库配置,可以参考:https://blog.youkuaiyun.com/qq_32224047/article/details/107165157 2.递 - Map 可以通过对象 获取 Map,在配置文件中通过 #{} 或 ${}进行应用 userMapper.xml中的配置 <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE mapper PUBLIC "-/
mybatis的几种方式
qq_42736065的博客
10-08 420
1.单个参数参 User selectUserInfo(Integer userId); <select id = "selectUserInfo" parameterType = "java.lang.Inte" resultMap="BaseResultMap" > select <include refid="Base_Column_List" />...
(七)Mybatis中#{}${}的区别,及别名机制
忆亦何为的博客
11-02 936
业务背景:实际开发中,有的表数据量非常庞大,可能会采用分表方式进行存储,比如每天生成一张表,表的名字与日期挂钩,例如: 2022年8月1日生成的表: t _user20220108. 2000年1 月1日生成的表: t _user20000101。${}:先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。运行测试程序会出现错误,因为${}是先进行字符串拼接,再进行编译,出现语法错误是正常的,因为 ‘燃油车’ 是⼀个字符串,在sql语句中应该添加单引号。可以防止sql注入,比较常用。
Mybatis在参时,使用${} #{} 的区别
Logicr的博客
09-02 383
不经一番彻骨寒,怎得梅花扑鼻香。——黄蘖禅师《上堂开示颂》 区别 #{} #将入的数据都当成一个字符串,会对自动入的数据加一个双引号。 ${} $入的数据直接显示生成在sql中。 ...
MyBatis动态递参数的两种方式#{}${}
bisal的专栏
10-26 3953
最近做的Java规范更新涉及到MyBatis映射配置文件中动态递参数的两种方式#{}${},两者的区别,(1) #{}为参数占位符?,即SQL预编译。${}为字符串替换,即SQL拼接,...
引用赋$
m15712884682的博客
08-18 2439
一.$a=3   $b=5 /如果是新手的话,可能会对这个'='号产生误会,  这个等号 就是赋用的. $b=$a; //$b = $a ; //发生了什么?   把$b的读出来,再把放到$b的空间里,即 赋$b; //就是把$b的,递给$a,因此叫. echo $a; //5 //在这个过程中,仅仅参考了一个$b的,然后,把$b的,复制一份到a的空间里去
mybatis插入对象
01-18
### MyBatis 中插入对象时的递 在 MyBatis 中,当执行插入操作并递 Java 对象作为参数时,通常通过映射文件中的 SQL 语句访问该对象属性。为了确保顺利地将对象的数据写入数据库表中,需遵循特定的方式定义 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值