mybatis映射文件#与$的使用,及参数传入规则

最新推荐文章于 2024-01-18 10:45:38 发布
最新推荐文章于 2024-01-18 10:45:38 发布
阅读量169 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: java
原文链接:http://www.cnblogs.com/lazyli/p/10777865.html
本文详细解析了MyBatis中#与$符号的使用场景与区别,通过具体的SQL语句示例,说明了两者在参数注入方式上的不同,以及在实际开发中如何避免SQL注入风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

mybaits映射文件中使用#与$场景:

<select id="getProviders" resultType="com.lazy.bill.pojo.Provider">
    SELECT * FROM provider WHERE 1=1 
    <if test="providerName != null and providerName != ''"> 
    <!-- 条件中不能使用#{providerName},要使用${providerName} -->
    AND providerName like '%${providerName}%'
    </if>    
</select>

$与#的区别:$是直接将值注入到sql语句中,'%${providerName}%'(传入的参数为lisi),那么这里的语句是:SELECT * FROM provider WHERE 1=1 and providerName like '%lisi%'。#是以字符串的形式注入的,如果这里使用'%#{providerName}%',运行时会出现异常,"'%lisi%'":sql语句:SELECT * FROM provider WHERE 1=1 and providerName like "'%lisi%'",多了一个字符串。这里主要是已经在用了' ',所以里面就应该直接将值注入就好。没有这种情况,其他的都可用#。

接口Mpper与映射文件中的对应:

public interface ProviderMapper{
        public List<Provider> getProviders(Provider provider); 
}

映射文件中的id是接口的方法名,resultType是接口的返回类型。方法的传入的参数是一个对象,映射文件中的动态获取参数的占位符参数名一定要与对象中的属性一致。传入对象的provider.providerName="lisi";产生的sql语句:SELECT * FROM provider WHERE 1=1 and providerName like '%lisi%'。

 

转载于:https://www.cnblogs.com/lazyli/p/10777865.html

MyBatis学习总结(七)——参数传入方式
呆呆的博客
05-08 361
https://www.2cto.com/database/201409/338155.html第一种方案 DAO层的函数方法 ?1Public User selectUser(String name,String area);对应的Mapper.xml  ?123&lt;select id="selectUser" resultMap="BaseResultMap"&gt;    select ...
MyBatis#$区别?
你只管努力,
11-25 434
1.#是占位符。 $是用来拼接字符,虽然也是占位但是做了字符的转换。#自动转换 日常报标识符无效的异常 2.#直接获取属性名称 $首先去获取properties文件的属性名称,没有的话再去对象或者参数中找。 3.#占位符 $拼接字符串,容易出现SQL注入。 为什么要引入$符号? 因为当数据库非常大的时候需要进行分库和分表, 数据量大的时候#无法处理 这时候就需要$来处理了。...
关于Mybatis关联映射文件中的参机制
z_ssyy的博客
08-13 810
mybatis有两种关联映射文件的方式 (1)第一种是直接读取映射文件     通过映射文件名称路径加上要处理的sql语句所在块的id @Test public void findCustomerByIdTest() throws IOException { // 1.读取mybatis配置文件 获得一个输入流 InputStream is = Resources....
mybatis参数输入 #{}和${}
小丁的博客
11-29 602
#{} 相当于 之前的占位符 ”?“ PreparedStatement:执行预处理SQL命令 ${} 是拼接 Statement:执行SQL命令,注入式漏洞 " lina ' or 1=1 or emp_name like' "
Mybatis映射文件#取值时指定参数相关规则
Ep流苏的博客
12-01 487
Mybatis映射文件#取值时指定参数相关规则#{}中,除了需要的数值外,还可以规定参数的一些其他规则。 例如:javaType,jdbcType,mode(存储过程),numericScale,resultMap,typeHandler,jdbcTypeName,expression; 其中比较常用的为jdbcType。 jdbcType ​ jdbcType通常在某种特定的条件下被设置...
mybatis使用笔记:谈谈#$两种参方式
码农之道
12-10 735
使用mybatis的过程中,我们的参方式有#{}和¥${}两种,很多时候我们都是推荐使用#{}这种方式,接下来我们就一起来看看这两者的区别使用的场景: #{}方式能够很大程度防止sql注入。因为#{}这种方式SQL语句是经过预编译的,它是把#{}中间的参数转义成字符串。 $方式无法防止Sql注入。因为这种方式是将值传入后再编译sql语句。 $方式一般用于传入数据库对象,例如传入表名。!!!...
浅谈mybatis中的#$的区别
09-02
理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据视为字符串,它会将其包裹在双引号内。例如,`order by #user_id#`,如果传入的值是`111`,那么最终生成的...
浅谈mybatis中的#$的区别 以及防止sql注入的方法
09-01
了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **#使用**: `#`符号用于参数绑定,MyBatis会将它包裹在双引号中,将其视为一个字符串。例如,`order by #user_id#`,如果传入的值是`111`,...
深入理解MyBatis中的#{ }和${ }占位符及参数递过程
最新发布
IT小辉同学
01-18 1670
MyBatis是一个广泛使用的持久层框架,它以其强大的数据库访问能力和灵活的SQL映射配置而著称。在MyBatis中,#{ } 和 ${ } 是两种常用的占位符,用于构建动态的SQL语句。本文将深入研究这两种占位符的用法、区别,并详细探讨参数MyBatis中的递和接受过程。通过本文的介绍,希望能够更深入地理解这两种占位符在MyBatis中的应用和差异,并在实际项目中选择合适的占位符来构建动态SQL语句。占位符,特别是涉及用户输入的地方,以确保SQL的安全性。方法的参数中获取的。在实际项目中,推荐使用
关于MyBatis参数传入#{index}的问题的解决方案【源码】
05-22
使用MyBatis进行数据库操作时,我们经常会遇到需要递多个参数的情况。在这个问题中,开发者遇到了一个关于如何正确传入参数#{index}的问题。在MyBatis中,#{index}是参数占位符,它用于动态SQL的拼接,但具体...
MyBatis映射文件的基本功能
weixin_42510923的博客
07-12 1474
#{}${}区别 #{}使用的是preparedStatement方式预处理,就是使用了占位符来填充数据防止SQL注入. ${}使用的是statement方式进行sql语句的拼接操作,有SQL注入风险。 映射文件配置: <delete id="delete" parameterType="int"> delete from t_user where no = ...
Mybatis疑难事件簿:‘#递布尔值无效问题
m0_66491772的博客
01-20 828
一、问题现场   MySQL自5.7版本就开始提供JSON类型,本次问题就是在使用JSON类型时出现的MySQL服务可以正常查询而使用Mybatis查询失效问题。   具体表现为在使用Mybatis(这里需要注意一下,笔者实际使用了其增强版Mybatis-Plus)按照JSON类型字段中某个key的指定value进行条件查询时出现无法查询出结果,在参数递时使用了'#'进行变量值递,查询代码如下: @Select("select * from `task_info` where task..
【8015】解决mybatis中用${}替换#{}配参报错java.sql.SQLSyntaxErrorException: Unknown column ‘XXX‘ in ‘where clause
Caojian_0的博客
09-27 2305
【8015】解决mybatis中用${}替换#{}配参报错java.sql.SQLSyntaxErrorException: Unknown column ‘XXX‘ in ‘where clause
mybatis中碰到的问题:接收参数时,#{ } 接收到而 ${ } 却能正确接收
heshangbukun的博客
11-15 4483
mybatis中写了一个简单的sql并使用了注解的方式进行值,代码如下: mapper.java中 void update(@Param("usercode") String usercode); mapper.xml 文件中 update reward set 1=1 where usercode=#{usercode} 出现的问题:在sql获得传入参数时,发现在控制台...
mybatis注解动态sql在if标签中传入参数#{}匹配参数
qq_53221975的博客
10-03 1342
mybatis注解动态sql在if标签中传入参数#{}匹配参数
Mybatis接收参数时,#{ } 接收到而 ${ } 却能正确接收问题处理
moernagedian的博客
03-24 1112
尝试把target删掉后重启
MyBatis基础入门4:#{}和${}参的使用区别
weixin_43183850的博客
05-02 3233
mybatis参的两种方式:#{}和${}
MyBatis动态参数的两种方式#{}和${}
bisal的专栏
10-26 3938
最近做的Java规范更新涉及到MyBatis映射配置文件中动态参数的两种方式#{}和${},两者的区别,(1) #{}为参数占位符?,即SQL预编译。${}为字符串替换,即SQL拼接,...
mybatis参时使用#参查询出数据,改成$参就可以查询出数据了
你一看就不是好人
10-30 3827
使用mybatis参时使用#参查询出数据,改成$参就可以查询出数据了,一直排查出来原因,因为$安全会导致sql注入,所以还是仔细查找该问题的原因。 log4j打印的sql和参数都没问题 sql复制到oracle也可以执行 但通过mybatis就查询到结果 后来在网上终于找到了答案 https://blog.youkuaiyun.com/gnail_oug/article/details/7...
MyBatis映射文件生成工具使用指南
使用 MyBatis 进行数据库操作时,开发者需要手动编写大量的映射文件(Mapper XML 文件),这些映射文件定义了 SQL 语句以及它们如何 Java 对象相互映射。对于一个包含多个表的数据库来说,这个过程既繁琐又容易...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值