超详细MyBatis中 #{} 和 ${} 区别

已于 2022-04-08 13:59:21 修改
阅读量1.1k 收藏 3
点赞数
分类专栏: 数据库 文章标签: java mysql 数据库
于 2022-04-08 13:58:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_52078607/article/details/124039662
版权

Mybatis的Mapper映射文件中,有两种方式可以引用形参变量进行取值: #{} 和 ${}。本文将简述两种方式的区别和适用场景。

一、取值引用

1) #{} 方式

#{}: 解析为SQL时,会将形参变量的值取出,并自动给其添加引号。 例如:当实参username="Amy"时,传入下Mapper映射文件后

    <select id="findByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username=#{value}
    </select>

SQL将解析为:

SELECT * FROM user WHERE username="Amy"

2) ${} 方式

${}: 解析为SQL时,将形参变量的值直接取出,直接拼接显示在SQL中

例如:当实参username="Amy"时,传入下Mapper映射文件后

<select id="findByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username=${value}
</select>

SQL将解析如下:

SELECT * FROM user WHERE username=Amy
显而该SQL无法正常执行,故需要在mppaer映射文件中的${value}前后手动添加引号,如下所示:

<select id="findByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username='${value}'
</select>

SQL将解析为:

SELECT * FROM user WHERE username='Amy'

二、SQL 注入

${}方式是将形参和SQL语句直接拼接形成完整的SQL命令后,再进行编译,所以可以通过精心设计的形参变量的值,来改变原SQL语句的使用意图从而产生安全隐患,即为SQL注入攻击。现举例说明:

现有Mapper映射文件如下:

<select id="findByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username='${value}'
</select>

当 username = “’ OR 1=1 OR '” 传入后,${}将变量内容直接和SQL语句进行拼接,结果如下:

SELECT * FROM user WHERE username='' OR 1=1 OR '';

显而易见,上述语句将把整个数据库内容直接暴露出来了

#{}方式则是先用占位符代替参数将SQL语句先进行预编译,然后再将参数中的内容替换进来。由于SQL语句已经被预编译过,其SQL意图将无法通过非法的参数内容实现更改,其参数中的内容,无法变为SQL命令的一部分。故,#{}可以防止SQL注入而${}却不行

三、适用场景

1)#{} 和 ${} 均适用场景

由于SQL注入的原因,${}和#{}在都可以使用的场景下,很明显推荐使用#{}。这里除了上文的WHERE语句例子,再介绍一个LIKE模糊查询的场景(username = “Amy”):

<select id="findAddByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username LIKE '%${value}%'
</select>

该SQL解析为:

SELECT * FROM user WHERE username LIKE '%Amy%';

上述通过${}虽然可以实现对包含"Amy"对模糊查询,但是不安全,可以改用#{},如下所示:

<select id="findAddByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM USER WHERE username LIKE CONCAT('%', #{username}, '%')
</select>

该SQL解析为下文所示,其效果和上文方式一致

SELECT * FROM USER WHERE username LIKE CONCAT('%', 'Amy','%');

2)只能使用${}的场景

由于#{}会给参数内容自动加上引号,会在有些需要表示字段名、表名的场景下,SQL将无法正常执行。现举一例说明:

期望查询结果按sex字段升序排列,参数String orderCol = “sex”,mapper映射文件使用#{}:

<select id="findAddByName3" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY #{value} ASC
</select>

则SQL解析及执行结果如下所示,很明显 ORDER 子句的字段名错误的被加上了引号,致使查询结果没有按期排序输出

SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY 'sex' ASC;

这时,现改为${}测试效果:

<select id="findAddByName3" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY ${value} ASC
</select>

则SQL解析及执行结果如下所示:

SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY sex ASC;
mybatis#{}${}的区别
zhangxing
07-13 8262
1.mybatis中的#{} 一般地,#{}在mybatis中表示申明一个变量;使用#{}传参时,sql语句解析是会加上"",比如  select * from user where name = #{name} ,传入的name为zhangxing,那么最后 打印出来的sql为: select * from user where name = ‘zhangxing’,就是会当成字符串来解析
2024最新搭建Mybatis配置教程【超详细
ntr851217的博客
03-02 5694
首先我们要知道什么是MybatisMybatis原是Apache的一个开源项目ibatis,2010年迁移到Google code改名为Mybatis,2013年迁移到GitHub上。MyBatis 是一款优秀的持久层框架,支持定制化 SQL、存储过程以及高级映射。MyBatis 可以使用简单的 XML 或注解来配置映射原生信息,将接口 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。
Mybatis中的#$符号的区别
m0_69529796的博客
03-22 617
符号作用是否预编译SQL 注入风险占位符,参数绑定✔️ 支持预编译❌ 安全(防止SQL注入)字符串拼接❌ 不预编译⚠️ 有SQL注入风险场景推荐备注传递普通参数(数字、字符串)#{}安全、高效传递动态表名、字段名、排序规则${}需要手动校验,避免 SQL 注入MyBatis#{} 表示占位符,使用 PreparedStatement 预编译,能有效防止 SQL 注入,是最推荐的写法。
mybatis#$区别
灰太狼
03-22 2万+
mybatis接口mapper文件中引用传入的参数是通过#{param}或者${param}来使用的。1.数据类型匹配#:会进行预编译,而且进行类型匹配$:不进行数据类型匹配2.实现方式 #:用于变量替换$:实质上是字符串拼接3.#$的使用场景(1)变量的传递,必须使用#,使用#{}就等于使用了PrepareStatement这种占位符的形式,提高效率。可以防止sql注入等等问题。#方式一般用...
Mybatismapper文件中$#区别
weixin_30871905的博客
12-13 193
一般来说,我们使用mybatis generator来生成mapper.xml文件时,会生成一些增删改查的文件,这些文件中需要传入一些参数,传参数的时候,我们会注意到,参数的大括号外面,有两种符号,一种是#,一种是$。这两种符号有什么区别呢? SELECT * FROM employee WHERE name=#{name} SELECT * FROM employee ORDER BY ${s...
MyBatis#{}${}的区别
m0_67683346的博客
02-28 5297
MyBatis#{}${}的区别
SpringBoot整合Mybatis超详细流程
qq_42582489的博客
07-21 2万+
SpringBoot整合Mybatis超详细流程 文章目录SpringBoot整合Mybatis超详细流程前言详细流程0.引入Mybatis1.创建数据2.创建程序目录3.理解后台访问流程4.核心文件配置5.编写entity6.编写dao7.编写Mapper8.编写Service9.编写Controller10.运行项目参考文章 前言 MyBatis 本是apache的一个开源项目iBatis, 2010年这个项目由apache software foundation 迁移到了google code,并且
mybatis-超详细文档-文档
06-29
### MyBatis 超详细知识点解析 #### 一、JDBC 编程问题与解决方案 **1. JDBC 编程的基本步骤** JDBC(Java Database Connectivity)是一种用于执行 SQL 语句的标准 Java API,可以为多种关系数据库提供统一访问。...
超详细Mybatis单表增删改查案例
m0_69266818的博客
04-21 1078
详细介绍了单表的增删改查的mybatis案例,一学就会,一看就懂
MyBatis超详细笔记
qq_45780574的博客
12-08 2867
1.MyBatis入门 1.1 简介: 官网地址:https://mybatis.org/mybatis-3/zh/configuration.html MyBatis是一款优秀的持久层框架 它支持定制SQL,存储过程以及高级映射 MyBatis避免了几乎所有的JDBC代码手动设置参数以及获取结果集 MyBatis可以使用简单的XML或注解来配置映射原生数据类型,接口java的POJO为数据库中的记录。 MyBatis本是apache的一个开源项目iBatis,2010年这个项目由apache so
Mybatis#$区别
01-05 6694
Mybatis$#区别
java面试题 Mybatis#$区别
樂小伍
10-16 1218
Mybatis#$区别 https://www.cnblogs.com/wslook/p/9185448.html #{}:占位符号,可以防止sql注入(替换结果会增加单引号‘’),相当于 ? 占位符 ${}:sql拼接符号(替换结果不会增加单引号‘’,likeorder by后使用,存在sql注入问题,需手动代码中过滤) 能使用 #{ } 的地方就用 #{ } 首先这是为了性能考虑...
MyBatis#{}与${}的区别
qq_55961709的博客
05-05 248
MyBatis#{}与${}的区别
Mybatis$#区别
u012102536的博客
08-29 1125
1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'.  2 $是将传入的数据直接显示生成sql语句,eg:select id,name,age from studen
彻底搞懂MyBaits中#{}${}的区别
热门推荐
緑水長流*z
07-11 3万+
MyBatis的`#{}`之所以能够预防SQL注入是因为底层使用了`PreparedStatement`类的`setString()`方法来设置参数,此方法会获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则会在前面加上一个`'/'`代表转义此符号,让其变为一个普通的字符串,不参与SQL语句的生成,达到防止SQL注入的效果。 **其次`${}`本身设计的初衷就是为了参与SQL语句的语法生成**,自然而然会导致SQL注入的问题(不会考虑字符过滤问题)。
(转)Mybatis#{}${}有什么区别
小蚯蚓的博客
04-05 915
【转载原因:$可能导致的sql注入攻击讲解很清楚】 【转载原文:https://www.php.cn/mysql-tutorials-369206.html】 前几天去一家公司笔试,有一道题是“Mybatis#{}${}的区别?”。说实话,当时自己真的不是很清楚,因为我本人没有怎么学习过mybatis,虽然最近做的项目用的是mybatis,但也只涉及到最基本的增、删、改、查,多表之间...
mybatis的逻辑分页物理分页
最新发布
03-27
<think>好的,我现在要帮助用户理解MyBatis中的逻辑分页物理分页的区别及实现方式,以及它们的性能比较。首先,我需要回忆一下自己之前学过的相关知识,并结合用户提供的引用内容来组织回答。 首先,用户的问题是关于MyBatis的逻辑分页物理分页的区别、实现机制性能比较。我需要明确这两个概念的定义,以及它们各自的实现方式。根据用户提供的引用内容,逻辑分页是MyBatis通过RowBounds或类似机制在内存中处理分页,而物理分页是在数据库层面进行分页,比如使用LIMITOFFSET或者分页插件如PageHelper。 接下来,我需要分别详细说明两者的实现机制。逻辑分页方面,用户提到的引用34指出,逻辑分页使用RowBounds,执行完整的SQL查询后,在内存中截取需要的数据。这可能适用于数据量小的情况,但数据量大时会有内存问题。物理分页则是通过修改SQL语句,添加分页参数,比如MySQL的LIMIT,这样数据库只返回特定范围的数据,减少了内存占用。 然后,性能比较部分需要结合引用23中的优缺点。逻辑分页在数据量小时效率高,因为不需要多次查询数据库,但数据量大时内存消耗大,甚至导致溢出。物理分页虽然每次都要访问数据库,但处理大数据量时更稳定,内存占用低,不过可能需要更复杂的SQL语句或插件支持。 我还需要提到具体的实现方式,比如逻辑分页的RowBounds用法,以及物理分页的PageHelper插件示例。引用4中提到了PageHelper的使用方法,可以结合代码示例来说明物理分页的实现。同时,引用3中比较了两者的优缺点,这有助于在性能比较部分展开讨论。 可能还需要考虑适用场景,比如什么时候选择逻辑分页,什么时候选择物理分页。根据引用2,逻辑分页适用于数据量小的情况,而物理分页适合大数据量,避免内存问题。此外,用户可能需要知道如何在实际项目中配置使用这两种分页方式,所以给出示例代码会更有帮助。 最后,生成相关问题时要围绕主题,可能涉及实现细节、优化方法、选择依据等。需要确保问题能够引导用户进一步探索相关内容,同时覆盖用户可能关心的其他方面。 现在需要整理这些思路,确保回答结构清晰,分点明确,引用正确的文献,并且语言自然流畅,符合用户的要求。同时要检查LaTeX格式是否正确,虽然这个问题可能不涉及数学公式,但如果有变量或代码块需要正确标注。不过根据问题内容,可能主要是代码块引用标注需要注意格式。</think>### MyBatis逻辑分页与物理分页对比分析 #### 一、实现机制 1. **逻辑分页** - **定义**:通过`RowBounds`或类似机制,在代码层面对查询结果进行内存分页。 - **实现方式**: - 执行完整的SQL查询,将**所有数据加载到内存**,再根据分页参数截取部分数据。 - 示例代码: ```java List<User> users = sqlSession.selectList("selectUsers", params, new RowBounds(offset, limit)); ``` - 引用说明:逻辑分页依赖内存截取数据,可能导致内存溢出风险[^2][^3]。 2. **物理分页** - **定义**:通过修改SQL语句,直接在数据库层面完成分页。 - **实现方式**: - 使用数据库方言(如MySQL的`LIMIT offset, limit`)或分页插件(如`PageHelper`)。 - 示例代码(PageHelper): ```java PageHelper.startPage(pageNum, pageSize); List<User> users = userDao.selectUserList(); PageInfo<User> pageInfo = new PageInfo<>(users); ``` - 引用说明:物理分页通过SQL优化减少数据传输量[^4]。 --- #### 二、性能对比 | 维度 | 逻辑分页 | 物理分页 | |--------------|--------------------------------------------------------------------------|--------------------------------------------------------------------------| | **内存占用** | 高(需加载全量数据)[^2] | 低(仅返回分页数据)[^3] | | **数据库压力** | 大(单次全量查询) | 小(分页条件限制查询范围) | | **响应速度** | 数据量小时快;数据量大时可能因内存不足崩溃 | 数据量大时稳定,但复杂查询可能因分页次数多而略慢 | | **数据实时性** | 数据为查询时的快照,后续变化不更新[^3] | 每次查询直接从数据库获取最新数据 | --- #### 三、适用场景 1. **逻辑分页** - 数据量小(如千级以下) - 需要频繁遍历全量数据的场景 - 引用警告:数据量超万级时需谨慎使用。 2. **物理分页** - 大数据量(万级以上) - 高并发场景(如Web应用分页展示) - 引用建议:优先选择物理分页以避免内存问题[^4]。 --- #### 四、优化建议 1. **物理分页的SQL优化** - 避免使用`offset`过大(可改用`WHERE id > last_id LIMIT n`)。 - 添加索引优化查询条件。 2. **逻辑分页的替代方案** - 结合缓存机制(如Redis)减少数据库压力。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值