mybatis中#与$的区别

最新推荐文章于 2024-02-06 18:40:13 发布
最新推荐文章于 2024-02-06 18:40:13 发布
阅读量172 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 数据库 测试平台及工具开发 文章标签: mybatis # $ sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43164644/article/details/92840345
本文讲述了作者在使用MyBatis写代码时遇到的查询问题,原本只能查出id为1的记录,将#换成$后解决。还介绍了#和$的区别,#传入参数在SQL中显示为字符串,可防SQL注入;$传入参数直接显示为传入值,不能防注入,存在风险。
前言

最近在写代码过程中遇到一个问题,这里简单做下描述。本意想写如下这么一条SQL。

SELECT t.id, t.name, t.version, t.module, t.test_type, t.platform, t.test_case, t.test_group FROM UI_TEST_SUIT AS t WHERE t.id in (1,2);

库中确实存在id为1,2的这两条记录,但是我用mybatis查询的时候,永远只能查出id为1的这条记录,这是为什么呢?

错误代码展现
	<select id="getSpecificTestSuits" parameterType="java.util.HashMap" resultMap="TestSuit">
		SELECT <include refid="Base_Column_List" />
		FROM UI_TEST_SUIT AS t
		WHERE t.id in (#{testSuits});
	</select>

其中在DAO中的实现则为:

 public List<TestSuit> getSpecificTestSuits(@Param("testSuits") String testSuits);

传进来的时候,testSuits为1,2的字符串。

修改后的正确代码
	<select id="getSpecificTestSuits" parameterType="java.util.HashMap" resultMap="TestSuit">
		SELECT <include refid="Base_Column_List" />
		FROM UI_TEST_SUIT AS t
		WHERE t.id in (${testSuits});
	</select>

只是将原来的#换成了$。

#和$的区别
  1. 两者都是动态的向sql语句中传入需要的参数
  2. #传入的参数在SQL中显示为字符串
    例如:原先的错误写法是,实际sql就相当于SELECT t.id, t.name, t.version, t.module, t.test_type, t.platform, t.test_case, t.test_group FROM UI_TEST_SUIT AS t WHERE t.id in (‘1,2’);
  3. $传入的参数在SqL中直接显示为传入的值
    例如刚刚的正确写法才是SELECT t.id, t.name, t.version, t.module, t.test_type, t.platform, t.test_case, t.test_group FROM UI_TEST_SUIT AS t WHERE t.id in (1,2);
  4. #可以防止SQL注入的风险(语句的拼接)
  5. #{}: 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符 。
  6. ${}: 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。
  7. #{}方式一般用于传入字段值,并将该值作为字符串加到执行sql中,一定程度防止sql注入;
  8. ${}方式一般用于传入数据库对象,例如传入表名,不能防止sql注入,存在风险。
mybatis#$使用和区别
学无止境
02-27 1168
mybatis#$使用和区别
mybatis$#区别
Procedure_monkey的博客
06-20 222
在一次面试中。 面试官:mybatis用过吗? 回:用过。 面试官:那你知道用$和用#号的区别吗? 回:。。。。。。。。。 mybatis确实是用过,而$#号一直也用过,记忆中他两都能替换值啊,用在sql语句中都好使。真要问到他们之间的区别,那就有点懵了,那么他们之前到底有什么区别呢? 简单点来说,就是 #会转义 而 $不会转义 那么这转义是怎么说的呢?下面我们来看一下mybatis官方...
MyBatis#{}和${}的区别
dustdawn的博客
07-19 177
我觉得#$区别最大在于:#{} 传入值时,sql解析时,参数是带引号的,而${}穿入值,sql解析时,参数是不带引号的。 一 : 理解mybatis$#mybatis中的$#都是在sql中动态的传入参数。 eg:select id,name,age from student where name=#{name} 这个name是动态的,可变的。当你传入什么样的值,就会根据你传入的值...
MyBatis#{} 和 ${} 的介绍
fantasy0422的博客
09-12 487
1.${}就是直接把大括号里面的值给替换了,不能防止sql注入。 2.#{}比较安全,已经被数据库预编译才会运行的,可以有效防止sql注入。但是有些情况用不了,存在局限性。能够把string类型的在拼接的时候自动加上引号,其他数据类型不加引号。 注意:#{}占位符不能解决以下3类问题: 表名是动态的:Select * from #{table_name} 列名是动态的:Select #{colu...
实践mybatis$#的不同
失忆老幺
04-27 218
被各大技术公众号推送的高级架构师的课程吸引着,说实话失忆馋了 #$导致有什么区别呢 我搜一下mybatis#$区别,发现很多都说#{}可以防止sql注入,但是具体怎么防止,博主没说!实践是检验真理的唯一标准嘛,于是乎,失忆就自测了一把 她说:你可以吗? 失丶忆:试试就能行,争争就能赢。 测试# controller @ApiOperation(value = "测试$#...
Mybatis${}和#{}的使用区别
m0_56959942的博客
09-06 233
1.${}是Properties文件中的变量占位符;#{}是sql的参数占位符。 2.${}属于静态文本替换,会直接替换为属性值;Mybatis会将#{}替换为?,sql执行前会使用PreparedStatement的参数设置方法按序给sql的?占位符设置参数值,#{}可以防止sql注入(比如登录功能,用单引号和一个恒等式冒充正确的登录账号和密码登录成功。) 3.${}用于标签属性值和sql内部, 这种情况必须用${}而不能是#{},举个例子:student表用某个字段id降序排序,映射文件中..
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #$区别 在...
Mybatis#{}和${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
MyBatis#$符的区别sql注入问题,动态sql语句
m0_73381672的博客
02-06 1927
#{}和${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
浅谈mybatis中的#$区别
09-02
MyBatis中,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
mybatis#{}和${}的区别
Zhangsama1的博客
08-27 4838
​1:尽量使用#{},只要能使用#{}解决,尽量使用#{}​2:表名作为参数,使用order by排序的时候使用${}3:多参数的时候尽量使用@Param注解,@Param注解作用为给参数命名,命名后即可根据名字得到对应的参数值​。...
mybatis#$符号的区别
weixin_34384915的博客
07-19 403
mybatis做为一个轻量级ORM框架在许多项目中使用,因其简单的入门受到了广大开发者的热爱。在近期项目中再做一个相关的开发,碰到了#$符号这样的问题,之前没怎么注意过,通过学习之后,有了点感悟,分享如下, #{} 使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句中如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且...
Mybatis中的${}和#{}区别
web18484626332的博客
08-02 9022
动态sqlmybatis的主要特性之一,在mapper中定义的参数传到xml中之后,在查询之前,mybatis会对其进行动态解析。mybatis为我们提供了两种支持动态sql的语法#{}以及${}提示以下是本篇文章正文内容,下面案例可供参考。...
Mybatis$#取值的区别
午夜学徒xpf的博客
01-11 1786
mybatis中通常会有传参数的方法要用到,有时候查询条件以及条件的值都需要方法参数传过来,在数据库中用以查询. #取值的时候,是将参数中的值当做字符串进行处理,而是将参数中的值当做字符处理,简单的将——–比如我现在要查询数据库中company=”tengxun”的记录方法findByItem(Stringcondition,Stringvalue);DAO操作时,condition中传入的参数是
Mybatis中的 ${} 和 #{}区别用法
j04110414的专栏
12-27 6万+
Mybatis 的Mapper.xml语句中parameterType向SQL语句传参有两种方式:#{}和${} 我们经常使用的是#{},一般解说是因为这种方式可以防止SQL注入,简单的说#{}这种方式SQL语句是经过预编译的,它是把#{}中间的参数转义成字符串,举个例子: select * from student where student_name = #{name}  预编译后,会动
解决http响应状态为canceled
热门推荐
测试架构师养成记的博客
10-31 8万+
最近写登录的页面,发现通过ajax请求后台的时候,监控台返回该请求的状态是canceled。 原因 仅仅是由于之前为了在输入账号时让浏览器进行自动补全,而将原先的div更换为了form,而不巧的是之前的登录事件源使用的是button。 而至于为什么status = canceled,是由于在提交时,form action绑定于button上的click事件会同时触发。form action将表单...
mybatis#$区别
最新发布
12-30
### MyBatis 中 `#` 和 `$` 符号的区别 #### 占位符功能差异 在 MyBatis 中,`#{}` 和 `${}` 都可以作为占位符来插入参数到 SQL 语句中。然而两者的工作机制存在显著不同。 当使用 `#{}` 形式的占位符时,MyBatis...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值