(面试)Mybatis中的#和$的区别

最新推荐文章于 2025-06-26 21:35:41 发布
转载 最新推荐文章于 2025-06-26 21:35:41 发布 · 3.1w 阅读 · 3

本文通过具体示例对比了MyBatis中#{}

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

话不多说,直接进入主题

 

一:下面我们写个关于“#”的个sql,看能不能注入。

 <select id="selectUser" resultMap="BaseResultMap">
    SELECT 
        acc.user_name FROM dfws_sys_user_account AS acc
    WHERE
        acc.user_name like #{userName}
 </select>

1.正常传参

DfwsSysUserAccount user = new DfwsSysUserAccount();
user.setUserName("wanglingzhi");
List<DfwsSysUserAccount> list = userAccountService.selectUser(user);
if(list!=null && list.size()>0){
    for (DfwsSysUserAccount u:list) {
        System.out.println("用户名:"+u.getUserName());
    }
}else{
        System.out.println("暂无数据");
}

sql打印:

Preparing: SELECT acc.user_name FROM dfws_sys_user_account AS acc WHERE acc.user_name = ? 

Parameters: wanglingzhi(String)

2.拼接传参

DfwsSysUserAccount user = new DfwsSysUserAccount();
user.setUserName("'wanglingzhi' or acc.user_name = 'shuizhong'");
List<DfwsSysUserAccount> list = userAccountService.selectUser(user);
if(list!=null && list.size()>0){
    for (DfwsSysUserAccount u:list) {
        System.out.println("用户名:"+u.getUserName());
    }
}else{
        System.out.println("暂无数据");
}

sql打印:

Preparing: SELECT acc.user_name FROM dfws_sys_user_account AS acc WHERE acc.user_name = ? 

Parameters: wanglingzhi or acc.user_name = shuizhong(String)

二:下面我们写个关于“$”的个sql,看能不能注入。

<select id="selectUser" resultMap="BaseResultMap">
    SELECT 
        acc.user_name FROM dfws_sys_user_account AS acc
    WHERE
        acc.user_name like ${userName}
</select>


1.正常传参

DfwsSysUserAccount user = new DfwsSysUserAccount();
user.setUserName("'wanglingzhi'");
List<DfwsSysUserAccount> list = userAccountService.selectUser(user);
if(list!=null && list.size()>0){
    for (DfwsSysUserAccount u:list) {
        System.out.println("用户名:"+u.getUserName());
    }
}else{
        System.out.println("暂无数据");
}


打印sql:

SELECT acc.user_name FROM dfws_sys_user_account AS acc WHERE acc.user_name = 'wanglingzhi'

2.拼接传参

DfwsSysUserAccount user = new DfwsSysUserAccount();
user.setUserName("'wanglingzhi' or acc.user_name = 'shuizhong'");
List<DfwsSysUserAccount> list = userAccountService.selectUser(user);
if(list!=null && list.size()>0){
    for (DfwsSysUserAccount u:list) {
        System.out.println("用户名:"+u.getUserName());
    }
}else{
        System.out.println("暂无数据");
}

打印sql:

SELECT acc.user_name FROM dfws_sys_user_account AS acc WHERE acc.user_name = 'wanglingzhi' or acc.user_name = 'shuizhong' 

 

很显然,这里已经sql注入了。

总结:

#{}

预编译SQL,类似于JAVA的预编译,例如:

String sql = "insert into info(name,age) values(?,?)";

PreparedStatement sta = con.prepareStatement(sql);

sta.setString(1, “张三”);

sta.setInt(2, 10);

只不过默认情况下会把参数当做字符串而自动添加一个双引号,例如:order by #id#,当传入的值是10时则为order by “10”。

凡是用到table、column名字的地方都不能用#,例如:insert into/select/delete/order by等这些后面是紧跟table名字和column名字的,这些名字是不允许添加引号的。

优点在于:防止SQL注入。

 

${}

不会预编译,原样输出,不会额外添加任何符号。例如:order by ${id},当传入的值是10时则为order by 10。

缺点:可能发生SQL注入问题。

 

 

原文:https://blog.youkuaiyun.com/qq_27811247/article/details/80775036 

原文:https://blog.youkuaiyun.com/attack_breast/article/details/88039493 

MyBatis中的#$有什么区别
关注我!带你一路 "狂飙" 到底!
02-08 4833
MyBatis是一款优秀的持久层框架,特别是在国内(国外据说还是 Hibernate 的天下)非常的流行,我们常说的SSM组合中的M指的就是MyBatisMyBatis支持定制化SQL、存储过程以及高级映射等多种特性,单纯从代码上来看,MyBatis避免了几乎所有的JDBC代码手动设置参数以及手动处理结果集。而且MyBatis的使用也非常方便,可以通过简单的XML或注解来配置映射数据信息。对MyBatis不熟悉的小伙伴,可以私信百泽老师,我们有免费的MyBatis手把手教学视频送给你哦~
MyBatis#{}${} | 数据库连接池
不能再留遗憾了的博客
01-09 2827
MyBatis中最常见的面试题——#{}${}的区别数据库连接池
mybatis#$区别面试
雷大大的程序猿的博客
11-23 1363
mybatis中的#$区别 #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”. $将传入的数据直接显示生成在sql中。如:order by useriduser_iduseri​d,如果传...
数据库面试问题,挂了:mybatis#$区别
learning_559的博客
05-04 413
首先,这是我遇到的一个面试问题 当时我对面试官说,我用mybatis时只用过#字符没有用过$字符。事后我也就来找度娘了。 我看了后就明白了,这个问题是以前也见过的问题,可惜从来没用过也就没什么印象了,今天来加深一下印象! 简单的来说,他们的区别就是#符号可以很大程度上地避免sql注入,而$不能!!! 而sql注入可能会危害到数据库的数据!!! 具体是怎么避免sql注入的,一起来看看吧!(别人的总结...
MyBatis 笔记——动态参数与 `#` `$` 的使用
最新发布
笑衬人心的博客
06-26 1527
本文介绍了MyBatis中的动态SQL功能以及#$参数占位符的使用区别。主要内容包括:1) 动态SQL通过<if>,<choose>,<foreach>等标签实现条件查询;2) #占位符能自动转义参数,防止SQL注入,适用于大多数场景;3) $占位符直接拼接参数,存在安全风险,仅限表名/列名等特殊场景使用;4) 提供了多种动态SQL与参数占位符结合的示例代码。最后强调应优先使用#以确保安全性,仅在必要时谨慎使用$
面试Mybatis中的$#区别
hai1991yu的博客
06-16 1204
Mybatis是如何做到sql预编译的呢?其实在框架底层,是JDBC中的PreparedStatemen类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的sql语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行同一个sql时,能够提高效率。原因是sql已编译好,再次执行时无需再编译。#{}:相当于jdbc中的PreparedStat...
mybatis#{}与${}的区别 (面试)
weixin_33756418的博客
10-24 261
MyBatis/Ibatis中#$区别 1.#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。   如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id". 2.$将传入的数据直接显示生成在sql中。 ...
Mybatis#{...}${...}的区别
NewBeeMu的博客
08-31 302
#{…}:会把参数的位置使用“?”做占位符,执行SQL的时候才会替换“?”的值 ${…}:直接把参数中的值作为SQL的一部分来执行→可能会有SQL注入的问题 如何选用: ...:当插入的参数是作为SQL执行的一部分的时候必须使用{...}:当插入的参数是作为SQL执行的一部分的时候必须使用...:当插入的参数是作为SQL执行的一部分的时候必须使用{…} #{…}:当传入的参数是同数据库进行交互的时...
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
mybatis面试#$区别.pdf
04-24
mybatis面试#$区别.pdf
18.<Mybatis补充($#区别+数据库连接池)>
m0_73456341的博客
10-23 1958
详解了 1.$#区别 2.数据库连接池。 3.简单了解MySQL企业开发规范
Java面试题之Mybatis#{} ${}的区别是什么?
qq_41026809的博客
05-24 2229
Mybatis中的Mapper的配置文件的parameterType(sql语句参数类型)有两种传递参数的方式: #{ } ${ } 这二者的区别: (1)#{ } select * from message where name=#{name} 预编译的时候处理为: select * from message where name=? (2)${ } select * f...
Mybatis#$区别,面试时如何不尴尬的回答
wyzdeng的博客
03-14 1097
mybatis#$区别是什么,想必大家在面试过程中或多或少都会遇到过这个问题吧! 当面试官问到这个问题的时候,是不是答完:“#号可以防止sql注入,$不可以防止sql注入”。就草草了事了呢? 这么回答正确,没问题!可你有没有想过这么简单的回答有什么意义呢?只能证明你知道答案,对于你个人的能力却毫无展现。 这时对于一个有几年工作经验的你,心中是否在想这么简单的问题还要问吗?是面试官在怀疑你...
面试集锦1:精讲#{}${}的区别是什么?
douzhi7060的博客
03-01 409
经常碰到这样的面试题目:#{}${}的区别是什么? 网上的答案是:#{}是预编译处理,KaTeX parse error: Expected 'EOF', got '#' at position 20: …符串替换。mybatis在处理#̲{}时,会将sql中的#{}替…{}时,就是把${}替换成变量的值。使用#{}可以有效的防止SQL注入,提高系统安全性。 对于这个题目我感觉要抓住两点: (1...
面试官:mybatis#{ }${ }的区别
qq_41490913的博客
07-22 215
面试官:mybatis#{ }${ }的区别
mybatis中的#$区别
yuan_qh的博客
09-13 357
先来一段比较难懂的官话(大佬看的),哈哈哈: 经常碰到这样的面试题目:#{}${}的区别是什么? 正确的答案是:#{}是预编译处理,${}是字符串替换。 (1)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值。 (2)mybatis在处理${}时,就是把${}替换成变量的值。 (3)使用#{}可以有效的防止SQL...
面试高频:mybatis$ # 是有啥区别
qwe123147369的博客
09-07 160
写在前面:2020年面试必备的Java后端进阶面试题总结了一份复习指南在Github上,内容详细,图文并茂,有需要学习的朋友可以Star一下! GitHub地址:https://github.com/abel-max/Java-Study-Note/tree/master 这个问题也是面试中常被问到的,就抽空来了解下这个,跳过一大段前面初始化的逻辑,对于一条 select * from t1 where id = #{id} 这样的 sql,在初始化扫描 mapper 的xml文件的时候会根据是否是 dyn
大厂面试中常问的#$区别
小徐的博客
03-24 407
先上代码让大家更直观的了解#$在模糊查询中的区别 第一种在查询语句中使用#的模糊查询 在持久层接口中添加模糊查询方法 /**模糊查询*/ List<User> findUnClear(String username); 在用户的映射配置文件中配置 <select id="findUnClear" parameterType="java.lang.String" r...
Mybatis#{}${}的区别面试常问)
爱打篮球爱折腾的程序猿
05-14 359
1、#{}是预编译处理,${}是字符串替换。 2、Mybatis 在处理#{}时,会将 sql 中的#{}替换为?号,调用PreparedStatement 的 set 方法来赋值; PreparedStatement ps = conn.prepareStatement(sql); ps.setInt(1,id); 3、Mybatis 在处理$ {}时,就是把${}替换成变量的值。 Statement st = conn.createStatement(); ResultSet rs = s.
MyBatis面试精华:#{与}$区别、XML映射标签详解及Dao接口原理
MyBatis面试中,面试官可能会关注候选人的基础知识掌握情况,特别是在SQL查询语言的使用XML映射文件的理解上。以下是一些关键知识点: 1. **#{}${}的区别**: - `${}` 是Java Properties文件中的变量占位符...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值