mybatis中的#和$的区别

最新推荐文章于 2025-09-12 18:08:49 发布
最新推荐文章于 2025-09-12 18:08:49 发布
阅读量57 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: java python 数据库
原文链接:https://my.oschina.net/u/1784135/blog/384916
本文详细介绍了MyBatis中#与$两种参数传递方式的不同之处,#方式会在SQL语句中自动添加双引号,能有效防止SQL注入;而$方式则直接将变量值插入SQL中,适用于传递数据库对象如表名等,但存在SQL注入风险。

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".
2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为order by user_id,  如果传入的值是id,则解析成的sql为order by id.
3. #方式能够很大程度防止sql注入。
4.$方式无法防止Sql注入。
5.$方式一般用于传入数据库对象,例如传入表名.
6.一般能用#的就别用$.
MyBatis排序时使用order by 动态参数时需要注意,用$而不是#
字符串替换
默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用:
ORDER BY ${columnName}
这里MyBatis不会修改或转义字符串。
重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。

说一下用#{},和 ${}传参的区别,

使用#传入参数是,sql语句解析是会加上"",比如  select * from table where name = #{name} ,传入的name为小李,那么最后打印出来的就是

select * from table where name = ‘小李’,就是会当成字符串来解析,这样相比于$的好处是比较明显对的吧,#{}传参能防止sql注入,如果你传入的参数为 单引号',那么如果使用${},这种方式 那么是会报错的,

另外一种场景是,如果你要做动态的排序,比如  order by   column,这个时候务必要用${},因为如果你使用了#{},那么打印出来的将会是

select * from table order by  'name'  ,这样是没用,

目前来看,能用#就不要用$,

转载于:https://my.oschina.net/u/1784135/blog/384916

Mybatis下动态sql中##$$区别讲解
08-26
Mybatis下动态sql中##$$区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis中,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis中,使用...
MyBatis#$符号区别
weixin_41939500的博客
07-05 349
符号时,参数值会直接拼接到SQL语句中,不会生成预编译的占位符。这种方式适用于动态表名或列名,但存在SQL注入风险。符号时,MyBatis会生成预编译的SQL语句,参数值会被安全地替换为占位符。这种方式可以有效防止SQL注入。符号直接拼接SQL,若参数值来自用户输入且未过滤,可能导致SQL注入。符号生成的预编译SQL可被数据库缓存,提高重复查询效率。符号用于参数替换,但两者的处理方式不同。符号每次拼接SQL,无法利用缓存。符号通过预编译机制避免此问题。符号会生成预编译的占位符(即。符号会直接替换为参数值。
Mybatis#$区别
热门推荐
伏颜的博客
07-11 2万+
Mybatis#$区别
MyBatis#$区别
weixin_36873225的博客
08-01 451
下面是一个实例12345678select"map"SELECTFROMusersWHERE-- 为了方便拼接,可以始终使用一个始终成立的条件 -->-- 根据参数动态拼接排序字段排序顺序 -->= null">ORDERBY</if>
MyBatis# $区别与使用场景
m0_73154147的博客
08-18 522
MyBatis#{}${}的主要区别:1)#{}是预编译参数占位符,自动类型转换且防SQL注入;2)${}是字符串拼接,直接替换SQL文本,存在注入风险。使用建议:条件值用#{}确保安全,动态表名/列名等场景才用${},但必须严格校验输入参数。核心原则是优先使用#{},仅在必要场景谨慎使用${}。
mybatis#$区别
weixin_49114503的博客
04-11 833
MyBatis中使用parameterType向SQL语句传参,parameterType支持的类型可以是基本类型int,String,HashMapjava自定义类型。#会进行预编译,安全,通过#{}传入的参数 mybatis会认为是一个字符串,自动加上引号“”$ 不会进行预编译,通过$ 传入的参数会直接取出来使用,可能会产生sql注入风险,而${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。简单说#{}是经过预编译的,是安全的。,其他的都建议用#{}传入。
Mybatis#$区别(通俗简单易解版)
一勺菠萝丶的博客
06-12 651
的标记。了解这两种方式的区别非常重要,因为它们在安全性功能上有明显的不同。我们将通过示例来说明这些差异,并提供实用的建议,以帮助开发者选择适当的方式,以确保应用程序的安全性效率。
Mybatis#$区别是什么?
牛肉胡辣汤
08-22 457
​时,MyBatis会将参数值以安全的方式替换到SQL语句中,使用的是PreparedStatement的预编译机制。​时,参数值会直接替换到SQL语句中,需要注意防止SQL注入攻击的风险。需要注意的是,使用​。​是安全的占位符,适合用于大部分情况下,并且推荐在编写MyBatis SQL语句时使用​。​是字符串替换的占位符,适合用于一些特殊的需求,但需要注意防止SQL注入攻击。​是字符串替换的占位符,它直接将参数的字符串值替换到SQL语句中。​进行占位符的标识,而是直接使用了​。​下面是一个使用​​。
Mybatis中的#$符号的区别
m0_69529796的博客
03-22 939
符号作用是否预编译SQL 注入风险占位符,参数绑定✔️ 支持预编译❌ 安全(防止SQL注入)字符串拼接❌ 不预编译⚠️ 有SQL注入风险场景推荐备注传递普通参数(数字、字符串)#{}安全、高效传递动态表名、字段名、排序规则${}需要手动校验,避免 SQL 注入MyBatis#{} 表示占位符,使用 PreparedStatement 预编译,能有效防止 SQL 注入,是最推荐的写法。
Java面试必备:MyBatis#$区别详解
qq_58299462的博客
05-04 1762
MyBatis框架中,`#``$`是两种不同的参数占位符,它们在SQL语句处理方式上有显著差异。正确理解使用这两种符号对于编写安全、高效的MyBatis应用程序至关重要。本文将详细探讨它们的区别,并通过流程图帮助理解其工作原理。
mybatis#$使用区别
m0_61682705的博客
07-03 457
MyBatis是一种基于Java的持久层框架,用于将数据库操作Java对象之间的映射进行处理。在MyBatis中,#$符号是用于SQL语句中的占位符。在使用符号时,需要注意一些风险,例如如果使用不当,可能会导致SQL注入攻击。因此,建议在使用符号时,对参数值进行严格的检查过滤处理。
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$区别 在...
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis中的#$区别
09-02
MyBatis中,`#``$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
性能测试工具JvisualVM/jconsole使用
最新发布
平时的经验总结,学习历程
09-12 193
port是jmx的另一个通信端口。可以不设置,启动后系统会自动随机指定端口。如果关闭了防火墙,没有网络访问策略,可以不设置。如果服务器需要开通端口访问策略此处需要配置开通策略的端口。然后在windows客户机,安装jdk目录下的bin目录下找到jvisualvm.exe或jconsole,通过远程连接方式监控jvm的cpu 内存 线程 类加载的情况。com.sun.management.jmxremote.port 是客户端连接的端口。主要介绍远程使用方式,在启动参数添加如下参数。
还在重启应用改 Topic?Spring Boot 动态 Kafka 消费的“终极形态”
郑龙飞
09-10 724
/ 用于存储 @KafkaListener 的“蓝图”// ... 可按需添加 concurrency, autoStartup 等其他属性(元数据采集与注册)@Component@OverrideClass<?= null &&!通过巧妙地结合动态配置中心,我们实现了一个功能极其强大的动态 Kafka 消费管理方案。
【lucene】bitsetiterator
risc123456的博客
09-09 515
某些自定义 `FieldCache` 或 `DocValues` 去重逻辑,会先把出现过的 docID 记到 `BitSet`,再用 `BitSetIterator` 一次性吐出。`BitSet` 本身只有 `get()/set()/nextSetBit(int)`,没有标准的迭代器语义,于是就有了 `BitSetIterator` 做适配。- `cost()` 直接返回 `cardinality()`,方便上层 `ConjunctionDISI/DisjunctionDISI` 做排序、选 lead。
计算机毕设 java 高校饭堂点餐系统 基于微信小程序 + SSM 的高校餐饮服务平台 Java+MySQL 的点餐与运营系统
毕设源码伍学长
09-10 1003
在高校饭堂就餐需求增长的背景下,传统点餐依赖窗口排队、效率低,存在高峰期拥堵、菜品信息不透明等问题,难以满足师生便捷就餐需求。采用 Java 技术、SSM 框架、Uni-weixin 技术及 MySQL 数据库,开发高校饭堂点餐系统(微信小程序端 + 服务端),整合菜品展示、在线点餐、订单跟踪等功能,支持管理员、商家、用户三类角色协同,打造专业化餐饮服务平台。该系统既能帮助管理员监管平台内容,商家高效管理菜品与订单,又能让用户便捷查询菜品、完成点餐,提升高校饭堂服务效率与用户体验。
Spring Cloud Gateway:构建智能API网关的终极指南
xinzhiyishi的博客
09-12 491
摘要: Spring Cloud Gateway是微服务架构中的核心API网关,基于Spring 5、WebFluxReactor构建,提供异步非阻塞高性能路由。其核心通过路由(Route)、**断言(Predicate)过滤器(Filter)**实现灵活请求匹配与处理,支持动态路由、负载均衡(如lb://service集成Eureka)、路径重写(RewritePath)、限流(RequestRateLimiter)等功能。相较于Zuul 1.x,它利用Netty实现高并发,内置丰富断言(Path、M
mybatis#$区别
12-30
### MyBatis 中 `#` `$` 符号的区别 #### 占位符功能差异 在 MyBatis 中,`#{}` `${}` 都可以作为占位符来插入参数到 SQL 语句中。然而两者的工作机制存在显著不同。 当使用 `#{}` 形式的占位符时,MyBatis...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值