你真的了解Mybatis的${}和#{}吗?是否了解应用场景?

最新推荐文章于 2023-07-03 09:03:14 发布
最新推荐文章于 2023-07-03 09:03:14 发布
阅读量113 收藏
点赞数
文章标签: java 数据库
原文链接:http://www.cnblogs.com/l3306/p/11465961.html
版权

转自:https://www.cnblogs.com/mytzq/p/9321526.html

动态sql是mybatis的主要特性之一。在mapper中定义的参数传到xml中之后,在查询之前mybatis会对其进行动态解析。

mybatis提供了两种支持动态sql的语法:#{} 、${}。

select * from t_user where username = '${username}';

select * from t_user where username = #{username};

username传参一致的话,这两种执行的结果是一样的,但是这两种方式在动态sql解析阶段的处理是不一样的。

1、#{}

解析为一个JDBC预编译语句(prepared statement)的参数标记符,把参数部分用占位符?代替。动态解析为:

select * from t_user where username = ? ;

而传入的参数将会经过PreparedStatement方法的强制类型检查和安全检查等处理,最后作为一个合法的字符串传入。

2、${}

这种方式只会做简单的字符串替换,在动态SQL解析阶段将会进行变量替换,假如传递的参数为Alice,最终处理结果如下:

select * from t_user where username = 'Alice' ;

这样在预编译之前的sql语句已经不包含变量了,因此可以看出${} 变量的替换阶段是在动态SQL解析阶段。

3、#{} ,${}两种方式对比

1)是否预防SQL注入

以上不同的处理方式可以看出,#{}预处理之后可以预防SQL注入;而${}在预编译之前就已经被替换,有被注入的风险,如下例:

如果传入的username 为 a' or '1=1,那么使用${}处理后直接替换字符串的sql就解析为:

select * from t_user where username = a' or '1=1' ;

这样的话所有的用户数据就被查出来了,这样就属于SQL注入。

如果使用#{},经过sql动态解析和预编译,会把单引号转义为\'那么sql最终解析为:

select * from t_user where username = "a\' or \'1=1 ";//这样会查不出任何数据,有效阻止sql注入

有的业务场景经常用到模糊查询,也就是like处理,推荐使用以下处理方式:

t_user.username like #username#

java代码里:

if (!StringUtil.isEmpty(this.username)) {

table.setUsername("%" + this.username + "%");

}

或者也可以使用数据库函数进行连接处理:

select  * from t_user u where username  like CONCAT('%', #username#, '%')

注意:以上就可以发现在某些特定场景下只能用${},比如order by 后的排序字段,表名、列名,因为需要替换为不变的常量。如果表名中使用#{}的话,会变成如下:

select * from #{tablename}-->tablename传参为t_user --->处理后变成 select * from 't_user',没有这样的表名,这样的话就会报错了,order by 同理。

2)性能考虑

因为预编译语句对象可以重复利用,把一个sql预编译后产生的PreparedStatement对象缓存下来,下次对于同一个sql,可以直接使用缓存的PreparedStatement对象,mybatis默认情况下,对所有的sql进行预编译,这样的话#{}的处理方式性能会相对高些。

总结:

能使用#{}的时候尽量使用#{}

表名、order by的排序字段作为变量时,使用${}。

转载于:https://www.cnblogs.com/l3306/p/11465961.html

18790970257
关注
18.<Mybatis补充($#的区别+数据库连接池)>
m0_73456341的博客
10-23 1913
详解了 1.$#的区别 2.数据库连接池。 3.简单了解MySQL企业开发规范
Mybatis的优缺点及适用场景?
边走、边悟、迟早变好
07-10 1791
Mybatis是一种基于Java语言的持久化框架,它能够让开发人员更加方便地进行数据库操作,同时也能够提高程序的性能可维护性。下面我们来详细了解一下Mybatis框架的特点、优点缺点。Mybatis框架是一种基于Java语言的持久化框架,它具有灵活性高、可配置性强、易于维护、性能高、易于集成、支持多种数据库等优点,但是需要开发人员掌握XML文件编写SQL语句的构建等技术,学习成本较高,开发效率相对较低,需要编写大量的XML配置文件,对初学者不太友好等缺点。
转 - mybatis${}、 #{}区别及应用场景
weixin_30417487的博客
07-17 522
转与https://www.jianshu.com/p/bbeff97d41eb 动态sql是mybatis的主要特性之一。在mapper中定义的参数传到xml中之后,在查询之前mybatis会对其进行动态解析。 mybatis提供了两种支持动态sql的语法:#{} 、${}。 select * from t_user where username = '${username}';...
mybatis#{}${}的区别
Daryl的博客
02-06 4074
简明的解释: #{}是预编译处理,$ {}是字符串替换(当做占位符来用)。 mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的 set方法来赋值; mybatis在处理 $ {} 时,就是把 ${} 替换成变量的值。 使用 #{} 可以有效的防止SQL注入,提高系统安全性。 在某些特殊场合下只能用${},不能用#{}。例如:在使用排序时...
mybatis$井号区别
u013803262的专栏
10-10 7092
mybatis$井号区别
MyBatis#{}${}的区别
m0_67683346的博客
02-28 5297
MyBatis#{}${}的区别
Mybatis#{} ${} 该如何选用?
u013208623的博客
12-25 861
在使用Mybatis时,应该尽量使用#{}占位符,这样可以防止SQL注入攻击,提升程序的安全性。如果确实需要使用${}占位符,应该先对参数值进行转义,再将转义后的参数值传入。
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.详情介绍
06-09
mybatis 拦截器了解过吗,应用场景是什么.详情介绍Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.详情介绍Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.详情介绍...
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.txt|Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.txt
09-05
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么答案 Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么答案
深入了解MyBatis二级缓存
08-26
"深入了解MyBatis二级缓存" MyBatis是一种流行的Java持久层框架,它提供了强大的缓存机制以提高应用...通过了解MyBatis二级缓存的工作原理、配置方法使用场景,可以更好地使用MyBatis二级缓存提高应用程序的性能。
Mybatis#{}${}的用法
li_w_ch的博客
11-17 1万+
1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。 比如, select * from student where student_name = #{studentName} 如果传入的值为xiaoming,那么解析成sql的值为student_name="xioming"。 2、${}将传入的数据直接显示生成在sql中。 如 : select ${fieldNmae} from student where student_age = 18 此时,传入的参数作为要查询的字
mybatis#$使用区别
m0_61682705的博客
07-03 437
MyBatis是一种基于Java的持久层框架,用于将数据库操作Java对象之间的映射进行处理。在MyBatis中,#$符号是用于SQL语句中的占位符。在使用符号时,需要注意一些风险,例如如果使用不当,可能会导致SQL注入攻击。因此,建议在使用符号时,对参数值进行严格的检查过滤处理。
Mybatis中的${}#{}区别
web18484626332的博客
08-02 8976
动态sql是mybatis的主要特性之一,在mapper中定义的参数传到xml中之后,在查询之前,mybatis会对其进行动态解析。mybatis为我们提供了两种支持动态sql的语法#{}以及${}提示以下是本篇文章正文内容,下面案例可供参考。...
彻底搞懂MyBaits中#{}${}的区别
热门推荐
緑水長流*z
07-11 3万+
MyBatis的`#{}`之所以能够预防SQL注入是因为底层使用了`PreparedStatement`类的`setString()`方法来设置参数,此方法会获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则会在前面加上一个`'/'`代表转义此符号,让其变为一个普通的字符串,不参与SQL语句的生成,达到防止SQL注入的效果。 **其次`${}`本身设计的初衷就是为了参与SQL语句的语法生成**,自然而然会导致SQL注入的问题(不会考虑字符过滤问题)。
mybatis#$的区别
aaaaAyy12的博客
09-04 1万+
mybatis#$的区别是什么 在mybatis#KaTeX parse error: Expected 'EOF', got '#' at position 8: 的主要区别是:#̲传入的参数在SQL中显示为字符…传入的参数在SqL中直接显示为传入的值,$方式无法防止Sql注入。 MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置
MyBatis#{} ${} 的使用场景
kennyharris
03-17 1059
mybatis
消息摘要算法与密码加密
weixin_48206782的博客
09-13 509
首先,对密码进行加密后,再存储,是非常有必要的!并且,主要的防范对象通常是内部员工!需要注意,对密码进行加密处理时,不可以使用加密算法!因为,所有的加密算法都是可以加密,也可以解密的!加密算法的核心价值在于保证数据在传输过程中是安全的,并不保证数据存储的安全!对需要存储的密码进行加密处理时,应该使用消息摘要算法,其本质是一种哈希算法,是不可逆向运算的!消息相同,则摘要相同无论消息长度,摘要的长度是固定的(同一种算法)消息不同,则摘要几乎不会相同。
Mybatis 查询 # 与 {} 的大区别(井号大括号插叙区别)
飞奔的小强
04-08 4063
当你进行大部分查询的时候 你会发现#{} 与 ${}查询的结果是一样的 那么他们的不同在哪里呢 ;首先   #不论你传什么值进来 都会变成 ' ' 字符串形式          $你传进来的值就直接是条件  ,传什么就是什么 mybatis不会做处理第一:安全问题   就好比你学jdbc的时候 1 :select  *  from  user where username= ?  2: sele...
mysql中美元符号_Mybatis#美元符号$符号的区别
weixin_33973421的博客
02-02 2994
1.#{变量名}可以进行预编译、类型匹配等操作,#{变量名}会转化为jdbc的类型。select * from tableName where id = #{id}假设id的值为12,其中如果数据库字段id为字符型,那么#{id}表示的是‘12’;如果是整型,则id的值为12,并且Mybatis会将上面SQL语句转化为jdbc的 select * from tableName where id =...
mybatis $#区别
最新发布
05-08
<think>好的,用户想了解MyBatis#$的区别及用法。我之前学过的相关知识需要回顾一下。首先,记得#是预编译处理,$是字符串替换。不过具体细节可能需要再确认。 根据引用内容,比如引用[1]提到#$是参数占位符,处理机制不同。引用[4]详细说明#{}可以防止SQL注入,使用PreparedStatement的set方法,而$是直接替换,可能有注入风险。用户可能需要知道两者的核心区别,包括安全性、处理方式使用场景。 我应该先分点说明两者的差异,比如处理机制、安全性、性能应用场景。同时需要举例说明,这样更清晰。比如,用#的时候,参数会被预编译为?,而$直接替换成字符串。例如,在order by的场景下,可能需要用$,但要注意风险。 还要注意用户可能在实际使用中遇到的问题,比如什么时候必须用$,虽然不安全但必要的情况。同时,要强调预防SQL注入的重要性,推荐优先使用#。可能需要给出代码示例,比如在XML中的SQL写法差异。 另外,引用[3]提到了MyBatis的执行入口,可能涉及底层原理,比如#会生成PreparedStatement,而$生成Statement。这点对理解区别有帮助,可以简单提及。 最后,生成相关问题时要覆盖原理、应用场景、安全措施替换情况。用户可能需要进一步了解如何避免$的风险,或者动态SQL的其他方法,比如使用OGNL表达式或其他MyBatis标签。 需要确保回答结构清晰,先总述区别,再分点详细说明,每个点都结合例子,最后总结使用建议。同时检查LaTeX格式是否正确,比如变量用$包裹,但系统级指令要求行内数学表达式用$...$,这里可能不需要,但要注意用户的问题中是否有数学内容,这里没有,所以可能不需要处理。不过代码块要用正确的格式,比如SQL示例Java代码。 现在整理回答,确保每个部分符合用户的要求,引用正确,并且在适当的位置添加引用标记。例如,在提到预编译处理时引用[4],在提到执行入口时引用[3]。</think>### MyBatis#$的区别及用法解析 #### 一、核心区别 1. **处理机制** - **`#{}`**:基于预编译的占位符,参数会被替换为`?`,并通过`PreparedStatement`的`setXXX()`方法赋值,生成安全的SQL语句[^4]。 - **`${}`**:基于字符串替换,直接将参数值拼接为SQL语句,可能引发SQL注入风险[^2]。 2. **安全性** - **`#{}`**:自动转义特殊字符(如单引号),防止SQL注入。 - **`${}`**:直接拼接原始值,若参数来自用户输入,需手动过滤危险字符。 3. **性能** - **`#{}`**:预编译的SQL可被数据库缓存,提升重复执行效率[^4]。 - **`${}`**:每次生成新SQL,无缓存优势。 --- #### 二、使用场景对比 | 场景 | `#{}`适用性 | `${}`适用性 | 示例 | |--------------------|-------------|-------------|--------------------------------------------------------------| | **普通参数传递** | ✅ | ❌ | `SELECT * FROM users WHERE id = #{userId}` | | **动态表名/列名** | ❌ | ✅ | `SELECT ${column} FROM ${tableName}` | | **ORDER BY排序** | ❌ | ✅ | `SELECT * FROM products ORDER BY ${sortField} ${sortOrder}` | | **LIKE模糊查询** | ✅(需拼接) | ❌ | `WHERE name LIKE CONCAT(&#39;%&#39;, #{keyword}, &#39;%&#39;)` | --- #### 三、底层原理 - **`#{}`**:通过`ParameterHandler`处理参数,生成`PreparedStatement`,执行时替换占位符[^3]。 - **`${}`**:在SQL解析阶段直接替换为字符串,生成`Statement`对象[^3]。 --- #### 四、代码示例 ```xml <!-- 安全用法:使用#{}传递参数 --> <select id="getUserById" resultType="User"> SELECT * FROM users WHERE id = #{userId} </select> <!-- 风险用法:使用${}动态拼接列名 --> <select id="getDynamicColumn" resultType="map"> SELECT ${columnName} FROM products </select> ``` --- #### 五、使用建议 1. **优先使用`#{}`**:确保安全性性能。 2. **谨慎使用`${}`**:仅在动态表名、列名或SQL关键字无法用`#{}`实现时使用,且需手动校验参数来源。 3. **防注入措施**:若必须用`${}`,可通过白名单校验参数内容(如固定枚举值)。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值