mybatis #{}和${}的区别、传参、基本语法

原创 已于 2023-01-13 10:53:13 修改 · 4.4k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mybatis#{}和${}的区别 #mybatis几种传参方式 #CONCAT #foreach  #判断字符串相等

于 2018-11-28 14:56:32 首次发布
本文深入探讨了MyBatis框架的高级使用技巧,包括#{}

1 #{}和${}的区别、及注入问题

(1) 区别:
    首先清楚一点,动态 SQL 是 mybatis 的强大特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析,#{} 和 ${} 在预编译中的处理是不一样的:
    例如:select * from t_user where userName = #{name};
    #{}预编译:用一个占位符 ? 代替参数:select * from t_user where userName = ?
    #{}预编译:会将参数值一起进行编译:select * from t_user where userName = 'zhangsan'
(2) 使用场景:
    一般情况首选#{},因为这样能避免sql注入;如果需要传参 动态表名、动态字段名时,需要使用${}
    比如:select * from ${tableName} where id > #{id};
(3) SQL注入问题:
    举个例子,如果使用${}出现的注入问题:
    select * from ${tableName};
    如果传参 t_user;delete from t_user,则预编译后的sql如下,将会导致系统不可用:
    select * from t_user;delete from t_user;
(4) like 语句防注入:
    使用concat函数:
    select * from t_user where name like concat('%', #{name}, '%') 
​

2 mybatis几种传参方式

非注解:
(1)单参数:
public User getUserByUuid(String uuid); 
<select id="getUserByUuid"  resultMap="BaseResultMap" parameterType="Object">
    SELECT * FROM   t_user  WHERE  uuid = #{uuid}
</select>
(2)多参数
public User getUserByNameAndPass(String name,String pass);  
<select id="getUserByNameAndPass"  resultMap="BaseResultMap" parameterType="Object">
    SELECT * FROM t_user  WHERE  t_name = #{0} and t_pass = #{1}
</select>
(3)Map参数
public User getUserByMap(Map<String,Object> map);
<select id="getUserByMap"  resultMap="BaseResultMap" parameterType="java.util.Map">
    SELECT * FROM t_user  WHERE  t_name = #{name} and t_pass = #{pass}
</select>
(4)实体对象参数
public int updateUser(User user);   
<select id="updateUser"  resultMap="BaseResultMap" parameterType="Object">
    update t_user set t_name = #{name}, t_pass = #{pass} where uuid=#{uuid}
</select>
(4)List集合参数
public int batchDelUser(List<String> uuidList);
<delete id="batchDelUser" parameterType="java.util.List">
    DELETE FROM t_user WHERE uuid IN
    <foreach collection="list" index="index" item="uuid" open="(" separator="," close=")">
        #{uuid}
    </foreach>
</delete>
(5)数组参数
public int batchDelUser(String[] uuidArr);
<delete id="batchDelUser" parameterType="object">
    DELETE FROM t_user WHERE uuid IN
    <foreach collection="array" item="uuidArr" open="(" separator="," close=")">
        #{uuidArr}
    </foreach>
</delete>
注解:
public List<User> getUserByTime(@Param("startTime")String startTime, @Param("endTime")String endTime);
<select id="getUserByTime" resultMap="BaseResultMap"  parameterType="Object">
    SELECT * from t_user where createTime &gt;= #{startTime} and createTime &lt;= #{endTime}
</select>
    

2 choose when otherwise

//JAVA 代码
public List<Group> getUserRoleRelByUserUuid(@Param("groupUuid") String userUuid,@Param("roleList")List<String> roleUuidList);
//SQL
SELECT * from user_role where groupUuid=#{groupUuid}
    <choose>
        <when test="roleList!=null&amp;&amp;roleList.size()&gt;0">
            AND roleUuid IN
            <foreach collection="roleList" index="index" item="roleUuid" open="(" separator="," close=")">
                #{roleUuid}
            </foreach>
        </when>
        <otherwise>
            AND roleUuid IN ('')
        </otherwise>
    </choose>

3 判断字符串相等

//JAVA 代码
public int getOrderCountByParams(Map<String, Object> params);
//SQL
<select id="getOrderCountByParams" resultType="java.lang.Integer"  parameterType="Object">
    SELECT count(*) FROM itil_publish_order where 1=1
       <if test="timeType == '1'.toString()" >
            AND create_time &gt;= #{timeStr}
        </if>
        <if test="timeType == '2'.toString()" >
            AND end_time &lt;= #{timeStr}
        </if>
  </select>
或者
<if test = 'timeType== "1"'> </if>

4 CONCAT函数实现 模糊匹配

<select id="getMaxSerialCode" resultType="java.lang.String"  parameterType="Object">
        SELECT count(*) FROM
        itil_publish_order
        WHERE serial_code LIKE CONCAT('%',#{codeStr},'%')
        ORDER BY serial_code DESC LIMIT 1
</select>
​

5 大于等于、小于等于

//JAVA代码
public List<PublishOrder> getOrderCount(@Param("startTime") String startTime,@Param("startTime")List<String> startTime);
//SQL
<select id="getOrderCount" resultType="java.lang.String"  parameterType="Object">
        SELECT * FROM itil_publish_order
        WHERE createTime &gt;= #{startTime} and &lt;= #{startTime}
</select>

MyBatis - #{} ${}
m0_74859835的博客
09-21 958
mybatis - #{ } ${ } 的使用区别,预编译SQL 即时SQL 的优缺点,及SQL注入问题
MyBatis#{} 的详细解析与底层原理
最新发布
weixin_51288065的博客
10-09 758
MyBatis#{} 的详细解析与底层原理
Mybatis中的${}#{}区别
m0_62520968的博客
05-10 1540
一、${}与#{}的区别 1、符号类型 (1)#{}:参数占位符,即预编译 (2)${} :字符串替换符,即SQL拼接 2、防注入问题 (1)#{}:很大程度上能防止sql 注入 (2)${}:不能防止sql 注入 3、参数替换位置 DBMS:数据库管理系统(Database Management System)是一种操纵管理数据库的大型软件,是用于建立、使用维护数据库,简称DBMS。它对数据库进行统一的管理控制,以保证数据库的安全性完整性。用户通过DBMS访问数据库中的数据,数据库管理员也通
MyBatis#{} ${} 的区别
liuyuinsdu的专栏
03-12 1484
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS中 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
Mybatis实战:#{} ${}的使用区别数据库连接池
LHY537200的博客
08-02 2260
{} ${}#{} ${} 在MyBatis框架中都是用于SQL语句中参数替换的标记,但它们在使用方式处理参数值上存在一些显著的区别。特点1.1Interger类型的参数1.先看Interger类型的参数2.观察日志3.查看日志中的输出语句我们输⼊的参数并没有在后⾯拼接,id的值是使⽤?进⾏占位. 这种SQL 我们称之为"预编译SQL"。4.我们把#{}改成${}5.再次查看输出日志信息可以看到, 这次的参数是直接拼接在SQL语句中了。
mybatis中的#{}${}
submorino的专栏
11-25 2573
mybatis中的#{}${} 1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}${}的区别 (1)   1)#{}为参数占位符?,即sql 预编译   2)${}为字符串替换,即sql 拼接 (2)   1)#{}:动态解析 ->预编译-> 执行   2)${}:动态解析 ->编译-> 执行 (3)   1)#{}的变量替换是在DBMS中   2)${}...
详解mybatis #{}${}的区别传参基本语法
08-18
MyBatis#{}${}的区别传参基本语法 MyBatis是一个基于Java的持久层框架,它提供了一个强大的SQL映射机制,能够将Java对象与数据库表之间建立映射关系。在MyBatis中,#{}${}是两个非常重要的符号,它们用于...
MyBatis#$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 2009
#{}${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
18.<Mybatis补充($#区别+数据库连接池)>
m0_73456341的博客
10-23 2067
详解了 1.$#区别 2.数据库连接池。 3.简单了解MySQL企业开发规范
Mybatis几种传参方式
wh柒八九的博客
08-23 7720
本文来说下有关Mybatis几种传参方式 文章目录概述单个参数 概述 本文说下Mybatis几种传参方式 单个参数
Mybatis -- #{} 与${}
qq_39273039的博客
08-14 1289
Mybatis的Mapper.xml语句中parameterType向SQL语句传参有两种方式#{} ${} #{} 一般解说是因为这种方式可以防止SQL注入,简单的说#{}这种方式SQL语句是经过预编译的,它是把#{}中间的参数转义成字符串 select * from student where student_name = #{name} 预编译后,会动态解析成一个参数标记符?: select * from student where student_name = ? ${} 在动态解析时
MyBatis${} #{}的正确使用方法(千万不要乱用)
08-18
主要介绍了MyBatis${} #{}的正确使用方法,本文给大家提到了MyBatis${} #{}的区别,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
mybatis中的#$区别
热门推荐
Howard的博客
09-22 3万+
简介     MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置映射原生信息,将接口 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。      动态 sql
MyBatis#{}${}的区别详解
weixin_30275415的博客
07-18 206
首先看一下下面两个sql语句的区别: <select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap"> select id, username, password, role from user where username = #{username,j...
一文解惑mybatis中的#{}${}
一个菜鸡的博客
07-19 6233
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
MyBatis中的#{} ${}
2301_76161469的博客
05-02 1154
由于 ${} 存在 SQL注入的问题,因此,在能够使用 #{} 的情况下,我们尽可能选择使用 #{},而在需要使用 ${} 时,我们需要对用户输入的数据进行验证,确保其符合预期的格式范围。当使用 ${} 时,由于没有对用户输入进行充分检查,而SQL又是拼接而成的,在用户输入参数时,在参数中添加一些 SQL关键字,达到改变SQL运行结果的目的,也可以完成恶意攻击。当使用 ${} 时,由于参数直接拼接在SQL语句中,而字符串作为参数时需要添加 '',而 ${} 不会拼接'',因此程序报错。
mybatis
w1lgy的博客
09-08 458
一、什么是mybatis   MyBatis 是支持普通 SQL 查询,存储过程高级映射的优秀持久层框架。 MyBatis 消除了几乎所有的 JDBC 代码参数的手工设置以及对结果集的检索。 MyBatis 可以使用简单的XML 或注解用于配置原始映射,将接口 Java 的 POJO( Plain Old Java Objects,普通的Java 对象)映射成数据库中的记录。 二、开发...
mybatis#{} ${}
即客星球的博客
12-19 484
简介: mybatis# $ 两种输出参数的符号,他们之间是有一些不一样的使用场景.. 首先来看一下啊 sql 语句 1 sql 语句 (1)使用 ${} sql select * from user u where u.name = '${name}' select * from user u where u.name = 'test' ${} 是直接填充值 (2)#{} ...
myBatis#{}${}传参区别
一天过去不会再来
04-19 912
#{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #{id},如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”。${}将传入的数据直接显示生成在sql中。如:order by ${id},如果传入的值是111,那么解析成sql时的值为order by 111, 如果...
mybatis $ # 区别
03-14
### MyBatis 中 `$` `#` 的区别MyBatis 中,`${}` `${}` 是两种占位符语法,用于处理 SQL 动态拼接中的变量替换。以下是它们的区别#### 1. **基本概念** - **`#{}`**: 这是一个预编译的占位符,在执行 SQL 前会被替换成一个 JDBC 参数占位符 (`?`) 并传递给数据库驱动程序进行安全绑定[^1]。 - **`${}`**: 这是一种字符串替换机制,直接将表达式的值插入到 SQL 字符串中,不会经过任何转义或安全性检查。 #### 2. **安全性对比** - 使用 `#{}` 可有效防止 SQL 注入攻击,因为它的值被当作参数而不是原始 SQL 部分来解析执行。 - 而 `${}` 则会直接将变量值嵌入到 SQL 中,如果输入未经过滤,则可能导致严重的 SQL 注入风险[^3]。 #### 3. **适用场景** - 当需要构建动态表名、列名或者某些固定的 SQL 片段时,可以使用 `${}`,因为它允许更灵活的字符串操作。 - 对于大多数情况下涉及用户数据的操作(如条件过滤),推荐使用 `#{}` 来提高代码的安全性可维护性[^4]。 #### 示例代码 下面展示了两者使用的具体例子: ```xml <!-- 使用 #{param} --> <select id="selectUsers" resultType="User"> SELECT * FROM users WHERE status = #{status} </select> <!-- 使用 ${param}, 注意这里假设 tableName 已经验证过 --> <select id="selectByTableName" resultType="map"> SELECT * FROM ${tableName} </select> ``` 上述第一个示例利用了 `#{status}` 安全地传参;第二个则通过 `${tableName}` 实现了动态表切换功能[^5]。 ### 总结 总之,在实际开发过程中应优先考虑采用 `#{}` 方式以保障应用程序免受恶意注入威胁的同时还能获得更好的性能表现。只有当确实存在特殊需求无法单纯依靠问号占位完成任务的时候才谨慎选用 `${}` 方法来进行相应处理。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值