mybatis中#和$的区别

最新推荐文章于 2024-02-06 18:40:13 发布
转载 最新推荐文章于 2024-02-06 18:40:13 发布 · 44 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/huangjinyong/p/9375717.html
文章标签:

#java #数据库

本文详细解析了MyBatis中#与$符号的使用区别,包括它们的数据类型匹配、实现方式及应用场景,并重点强调了如何防范SQL注入问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在mybatis接口mapper文件中引用传入的参数是通过#{param}或者${param}来使用的。

1.数据类型匹配

#:会进行预编译,而且进行类型匹配

$:不进行数据类型匹配

2.实现方式 

#:用于变量替换

$:实质上是字符串拼接

3.#和$的使用场景

(1)变量的传递,必须使用#,使用#{}就等于使用了PrepareStatement这种占位符的形式,提高效率。可以防止sql注入等等问题。#方式一般用于传入添加,修改的值或查询,删除的where条件 id值

select * from t_user where name = #{param}

(2)$只是只是简单的字符串拼接,要特别小心sql注入问题,对应非变量部分,只能用$。$方式一般用于传入数据库对象,比如这种group by 字段 ,order by 字段,表名,字段名等没法使用占位符的就需要使用${}

select count(*), from t_user group by ${param}

(3)能同时使用#和$的时候,最好用#。

sql注入问题:

SQL注入就是将原本的SQL语句的逻辑结构改变,使得SQL语句的执行结果和原本开发者的意图不一样.

比如:使用Statement语句执行者,执行sql,会造成sql注入的问题,

String sql = "select * from tb_name where name= '"+varname+"' and passwd='"+varpasswd+"'";

如果我们把[' or '1' = '1]作为varpasswd传入进来,执行查询的时候 sql会变成,

String sql = "select * from tb_name where name= '' and passwd = '' or '1' = '1',1=1是永远成立的,所以,前面的条件已经不起作用,

我们使用预编译语句执行者就可以避免这个问题,prepareStatement将sql预编译,传参数的时候,不会改变sql语句结构,就可以避免注入。

转载于:https://www.cnblogs.com/huangjinyong/p/9375717.html

MyBatis#{}${}的用法
时代各有不同,青春一脉相承。
12-31 915
MyBatis#{}${}的用法 区别#{}方式能够很大程度上防止sql注入,${}无法防止sql注入。${}方式一般用于传入数据库对象,例如列表表名,#{}方式一般用来传递接口传输过来的具体数据。由于#{}方式具有更高的安全行,所以能用#{}的地方尽量不要使用${}。Mybatis排序时使用order by动态参数时需要注意,用${}而不是#{}。
mybatis中的#$区别
热门推荐
kobi521的专栏
11-25 11万+
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的
Mybatis#$区别
dingqinghu的专栏
05-30 1万+
#号与$区别#号表示参数,$代表一个字符串。如: select a,b,c from table1 where id=#value#,传入参数后如:value="1", 则可生成:select a,b,c from table1 where id=‘1’。 select a,b,c from table1 where city like '%$value$%',传入参数后: valu
Mybatis#$区别
伏颜的博客
07-11 2万+
Mybatis#$区别
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$区别 在...
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis中的#$区别
09-02
MyBatis中,`#``$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
MyBatis#$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 1918
#{}${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
Mybatis下动态sql中##$$区别讲解
08-26
Mybatis下动态sql中##$$区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis中,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis中,使用...
MyBatis#{}${}的区别
学无止境
04-13 520
(1)#{} 在xxMapper.xml文件中,查询语句如下: <select id="selectUser" resultType="mybatis.entity.User"> select * from user where username= #{username} </select> 此时,在mybatis执行该语句前,会将该查询编译成“...
MyBatis# $区别
脚印
01-03 1176
#相当于对数据加上双引号,$相当于直接显示数据 #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sq 时的值为:order by “111”;如果传入的值是id,则解析成的sql为:order by “id” $将传入的数据直接显示生成在sql中。如:order by useriduser_iduser...
Mybatis#{}${}的区别
个人博客
09-07 1121
一、结论   #{}:占位符号,好处是防止sql注入。   ${}:sql拼接符号。 二、具体分析   动态 SQL 是 mybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } ...
MyBatis#$的符号区别
严文文 Chris
09-02 779
mybatis中使用Mapper.xml里面的配置进行sql查询,经常需要动态传递参数,例如,我们根据用户的姓名来删选用户是,sql如下: Select * from user where name=“Jack”; 上述sql中,我们希望name的参数jack是动态可变的,既不同的时刻根据不同的姓名来查询用户,在Mapper.xml文件中使用如下的生气了可以实现动态传递参数 name: Se...
MyBatis#$区别
wdhouyigege的博客
07-13 314
1.#会将传入的数据解析成一个字符串,自动添加上双引号,$会将传入的数据直接显示在Sql语句中如:select name,age from t_user where id = #{userId},传入参数111,则将sql解析为select name,age from t_user where id = “111”select name,age from t_user where id = ${u...
mybatis#$区别
最新发布
12-30
### MyBatis 中 `#` `$` 符号的区别 #### 占位符功能差异 在 MyBatis 中,`#{}` `${}` 都可以作为占位符来插入参数到 SQL 语句中。然而两者的工作机制存在显著不同。 当使用 `#{}` 形式的占位符时,MyBatis 将其视为预处理语句 (PreparedStatement) 的参数绑定方式[^1]。这意味着实际的 SQL 发送到数据库之前会先由 JDBC 进行一次转义处理,从而有效防止 SQL 注入攻击的发生。 而采用 `${}` 方式,则是直接替换模板中的变量名为其对应的值字符串,并不做任何额外的安全检查或转换操作[^2]。因此,在某些特殊情况下可能会引入潜在风险。 #### 使用场景对比 由于上述特性上的差别,这两种语法适用于不同的编程环境: - 对于大多数常规查询条件构建而言,推荐优先选用 `#{}` 结构以增强应用程序的整体安全性; - 当遇到一些无法通过标准 API 实现的需求——比如表名、列名动态指定等情况时,则可能不得不借助 `${}` 完成相应逻辑编码工作;不过此时应当格外谨慎对待输入验证环节[^3]。 #### 示例代码展示 下面给出一段简单的例子说明如何分别运用这两种表达形式编写 Mapper XML 文件内的 SELECT 语句: ```xml <!-- 正确做法 --> <select id="findUserById" parameterType="int" resultType="com.example.User"> SELECT * FROM users WHERE user_id = #{userId} </select> <!-- 错误示范:容易遭受注入威胁 --> <select id="findByTableName" parameterType="string" resultType="map"> SELECT * FROM ${tableName} <!-- 不建议这样写 --> </select> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值