mybatis占位符的讲解

最新推荐文章于 2024-10-17 08:15:00 发布
最新推荐文章于 2024-10-17 08:15:00 发布
阅读量5.8k 收藏 7
点赞数 1
分类专栏: mybatis 文章标签: mybatis jdbc java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ypxcan/article/details/121160797
版权
本文详细讲解了MyBatis中的占位符#{ }和${ }的区别。#{ }用于预编译,提供安全性,避免SQL注入,适用于列值;${ }则进行字符串拼接,存在SQL注入风险,常用于表名或列名。在特定场景下,两者可以组合使用以实现复杂查询需求。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

mybatis中,占位符有两个,一个是#,一个是$,这两个有什么区别,我们分别来讲解一下

1. 占位符#{}

语法:#{字符}

#占位符告诉mybatis使用实际的参数值代替。并,#{…}代替sql语句的"?"。这样做更安全,更迅速,通常也是首选做法

mapper文件中

<select id="selectStudentById" parameterType="int" resultType="com.lu.entity.Student">
	select id, name, email, age from student where id = #{studentId}
</select>

转为mybatis的执行是:

String sql = "select id, name, email, age from student where id = ?";
PreparedStatement ps = conn.prepareStatement(sql);
ps.setInt(1, 1001);    //传递参数
ResultSet rs = ps.executeQuery();	//执行sql语句

#{}占位符的特点:

  1. 使用PrepareStatement对象执行sql语句
  2. 使用PrepareStatement对象,能避免sql注入,sql语句执行更安全
  3. #{}常常作为列值使用的,位于等号的右侧,#{}位置的值和数据类型有关的

2. 占位符${}

语法:${字符}

mybatis执行${}占位符的sql语句

<select id="selectStudentById" parameterType="int" resultType="com.lu.entity.Student">
	select id, name, email, age from student where id = ${studentId}
</select>

表 示 字 符 串 连 接 , 把 ‘ s q l ‘ 语 句 的 其 他 内 容 和 {}表示字符串连接,把`sql`语句的其他内容和 sql{}内容使用字符串(+) 连接的方式连在一起

转为mybatis的执行是:

String sql = "select id, name, email, age from student where id =" + "1001";
Statement stmt = conn.createStatement(sql);
ResultSet rs = stmt.executeQuery();

${}的特点

  1. 使用Statement对象,执行sql语句,效率低
  2. ${}占位符的值,使用的字符串连接方式,有sql注入的风险。有代码安全的问题
  3. ${}数据是原样使用的,不会区分数据类型
  4. 常 用 作 表 名 或 者 列 明 , 再 能 保 证 数 据 安 全 的 情 况 下 使 用 {}常用作表名或者列明,再能保证数据安全的情况下使用 使{}

我们来实现一个例子,首先在dao接口中写方法

List<Student> queryStudent(@Param("studentname") String name);

在mapper文件中

<select id="queryStudent" resultType="com.lu.entity.Student">
	select * from student where name = ${studentname}
</select>

在测试类中

    @Test
    public void testQueryStudent() {
        SqlSession session = MyBatisUtil.getSqlSession();
        StudentDao dao = session.getMapper(StudentDao.class);
        List<Student> students = dao.queryStudent("张三");
        students.forEach(student -> System.out.println(student));

        session.close();
    }

我们来执行一下
在这里插入图片描述
报了一个错,代码把张三当成一个列了,那么我们怎么修改呢

List<Student> students = dao.queryStudent("'张三'");

我们需要在传值的时候在值的两边加上单引号 ''

再重新执行一下,发现可以查询成功了
在这里插入图片描述

还有一点我们需要注意的,就是在dao接口中定义方法的时候,我们必须用@Param来指定名称,不然同样会报错。

${}最不能解决的问题,就是sql注入的问题,关于sql注入,可以看这一篇文章

PreparedStatement如何防止sql注入

3. #{}和${}组合使用

有时候我们单独的使用#{}或者${}都不能很好的解决问题,比如下面这个例子

我们要从指定的数据中查询名字为XXX的数据,并且按照姓名进行降序排序

首先在dao接口中定义方法

List<Student> queryStudentOrderByColumn(@Param("myname") String name, @Param("colName") String colName, @Param("tableName") String tableName);

在mapper文件中

<select id="queryStudentOrderByColumn" resultType="com.lu.entity.Student">
	select * from ${tableName} where name = #{myname} order by ${colName} desc
</select>

在测试类中

    @Test
    public void testQueryStudentOrderByColName() {
        SqlSession session = MyBatisUtil.getSqlSession();
        StudentDao dao = session.getMapper(StudentDao.class);
        List<Student> students = dao.queryStudentOrderByColumn("张三", "id", "student");
        students.forEach(student -> System.out.println(student));

        session.close();
    }

控制台输出:
在这里插入图片描述

现在我们已经实现了#{}和${}的组合使用

Mybatis占位符 ${} and #{} 兄弟二人!
weixin_45925109的博客
04-07 355
{}占位符 可以直接看最后的总结! 介于上篇博客中Mybatis快速入门 增删改查 傻瓜教程!SQL语句中的值是写死在SQL中,而在实际开发中,此处的值往往是用户提交过来的值,因此这里我们需要将SQL中写死的值替换为占位符。 1.查询emp表中指定id的员工信息 <select id="findById" resultType="com.tedu.pojo.Emp"> selec...
MyBatis最简单讲解
cxyzhaosi的博客
08-16 710
首先对MyBatis框架做一个简单的介绍,mybatis就是一个持久层的框架,对JDBC进行的封装,用于操作数据库的框架,是一个ORM(对象关系映射)框架的一种。
Mybatis 占位符
u010389826的博客
07-24 973
1)#{ } :执行sql时,会将#{ }占位符替换为?,将来自动设置为参数值。· 如果要对表名、列名进行动态设置,只能使用${ } 进行sql拼接。· 使用CDATA字符,IDEA中直接输入大写的"CD"会自动提示补全。用于列名和POJO字段名称映射,包括id 和 result两个类型。2)${ } : 拼sql, 会存在sql注入问题。用于设置参数类型,该参数可以省略。·参数传递:都使用#{ }· 转义字符 < >等。
MyBatis占位符
最新发布
小星袁
10-17 1273
{}占位符: 相当于JDBC中的问号(?)占位符,是为SQL语句中的值进行占位,如果参数值是字符串或者日期类型,会进行转义处理实际MyBatis执行的SQL#{}占位符用来设置参数,参数的类型能够有3种:基本类型,自定义类型,Map如果只传递单个参数,只需要使用#{参数名}即可将参数取出,其中参数名可以起任意值如果传递多个参数,那么#{}的名字需要互不相同,所以一般情况我们都使用传入的字段名。
mybatis (二)占位符
weixin_44032502的博客
02-04 1120
占位符简介一、#{}二、${} 简介 mybatis占位符有两种:#{}、${}。 共同点: 都可以获取参数列表中的参数 不同点: #{}采取预编译的形式将参数设置到sql语句中,可以防止sql注入 ${}直接将取出的值拼装在了sql中,会出现安全问题 一、#{} 应用场景: 普通的条件参数占位 可应用在条件参数上 @select("select * from tb_test where id=#{id}") public Test findById(int id); 二、${} 应用场景: 可
MyBatis——谈谈占位符(#、$)的理解与使用
热门推荐
贝尔摩德苦艾酒
03-02 3万+
MyBatis——谈谈占位符(#、$)的理解与使用
[课堂课件讲解]Java微服务实践-Spring Boot MyBatis.pptx
08-27
属性可以作为占位符使用。 MyBatis 设置 MyBatis 设置用于修改 MyBatis 的运行时行为。 MyBatis 类型别名 MyBatis 类型别名用于为 Java 类型建立别名,一般使用更短的名称替代。 MyBatis 类型处理器 MyBatis ...
MyBatis全解
w13114的博客
08-12 4155
起源:MyBatis 的前身是 iBatis,最初由 Clinton Begin 在2001年创建。发展:2008年左右,iBatis 被捐赠给了 Apache 软件基金会,并更名为 MyBatis。版本演变:MyBatis 3.x 版本引入了大量的改进和新特性,成为目前最广泛使用的版本。社区与生态:MyBatis 拥有活跃的社区和丰富的插件生态系统,包括 MyBatis Generator、MyBatis Plus 等工具。
mybatis 讲解 1节
12-10
这里的`#{id}`是MyBatis的参数占位符,它会自动处理参数的类型转换和SQL注入防护。 在Java代码中,我们可以通过SqlSession对象来执行Mapper接口的方法。SqlSession提供了打开、提交、回滚事务以及执行SQL的方法。...
Mybatis多参数及实体对象传递实例讲解
08-31
这样,Mybatis会根据这些参数名称在XML映射文件中找到对应的占位符并进行替换。 - **Map参数**:另一种常见方式是使用Map来封装所有参数,键是参数名,值是参数值。例如: ```java public List...
Mybatis占位符
qq_44182543的博客
03-02 424
#:占位符,告诉Mybatis使用实际的参数值代替。并使用PrepareStatement对象执行sql,#{}代替sql语句的“?”。这样做更安全,通常也是首选做法。执行效率高,可以防止slq注入 <select id="selectById" resutltType="com.milkandtea.entitu.Student"> select * from student where id = #{id} </select> 转为Mybatis执行的是一下这样的代码 S.
Mybatis中的占位符
林中鸟的博客
08-27 2595
mybatis中#{} #{}占位符是为了获取值,获取的值作用在where语句后insert语句后,update语句后, #{}获取值,是根据值得名称取值 a) 参数是基本数据类型,那么在映射的语句中可以不写paramterType,#{}中的参数名也可以随意写 b) 参数是自定义类型,那么必须填paramterType,#{}中的名称是自定义类型的属性名,该属性有对应的get方法。如果没有get方法,那么会根据反射去获取该类型的值,如果找不到,那么ReflectionException异常 c) 参数可以
Mybatis占位符详解
tpf1070527713的博客
04-15 2592
mybatis中有两种占位符,一种是#{},另一种是${},name这两种占位符有什么区别呢? #{}解析传递进来的参数数据 ${}对传递进来的参数原样拼接在SQL中 #{}的SQL是这样的: ==> Preparing: select T_Id, T_direction, T_courses, T_contents, T_teacher, T_class_type, T_rema...
MyBatis占位符 #{ } 和 ${ }
weixin_34234823的博客
08-01 1538
2019独角兽企业重金招聘Python工程师标准>>> ...
Java MyBatis 占位符
Claroja
05-24 320
不同点: #{}:相当于预处理中的占位符?。可以防止SQL注入。 ${}:相当于拼接SQL串,对传入的值不做任何解释的原样输出。会引起SQL注入。 相同点: 可以接受HashMap、POJO类型的参数。 当接受简单类型的参数时,#{}里面可以是value,也可以是其他。 ...
MyBatis学习笔记之占位符解析
weixin_45341408的博客
11-17 735
简介 占位符,顾名思义就是先占住一个位置,占位符解析就是把这事先占住的位置解析成,所想要的值。常见的占位符有#{},${},{}等等。使用占位符有好处是采用统一的表达方式,根据不同解析策略,可以有不同的结果; 占位符解析流程 确定所要解析占位符的前缀和后缀 取出前后缀所包裹的标记,token 对token进行解析及占位符的替换 具体解析过程 1、定义TokenParser import com.weikun.handler.TokenHandler; public class TokenParser
mybatis中参数占位符
武帝为此的博客
11-21 412
{}占位符允许直接替换属性值或表达式的结果,但小心潜在的SQL注入风险。通常情况下推荐使用#{}参数占位符,它提供更好的安全性和预编译功能。只有在需要执行SQL函数或进行字符串拼接等情况下,才使用${}占位符
mybatis
m0_69836134的博客
11-29 672
mybatis相关知识
mybatis的#占位符
weixin_58069198的博客
11-29 635
之前的增删改查操作中,SQL语句中的值是写死在SQL中,而在实际开发中,此处的值往往是用户提交过来的值,因此这里我们需要将SQL中写死的值替换为占位符。#{}占位符:相当于JDBC的问号,是为SQL中的值进行占位的,将来我们的值传到sql中,由占位符替换,那么我们的sql的灵活性就会变得极高。加入传递的值是老安select * from emp where name=’老安’#{}出于安全考虑,会将传递过来的值,进行转译处理。假如此次传递的值不是参数值,而是SQL语句本身。例如想要动态传递查询的列。
请深入讲解MyBatis注解开发
04-11
其中的#{id}是参数占位符,可以通过方法参数的方式传递进来。同样的,@Insert注解、@Update注解、@Delete注解也可用于对数据进行增删改。 此外,还有许多其他的注解可以用于完成各种任务,例如@Results注解用于指定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

再让我学一会吧!

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值