Mybatis中的#与$符号的区别

最新推荐文章于 2024-09-09 10:30:43 发布
原创 最新推荐文章于 2024-09-09 10:30:43 发布 · 262 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Mybatis

本文探讨了在使用Mybatis框架进行数据库操作时,如何通过动态SQL提高代码的灵活性和复用性。详细对比了#{}

这个问题最先出现在使用Mybatis连接数据库,SQL语句通用性的问题

实现功能

需要使用Mybatis查询数据库中不同的表
如果固定表名的话,根据ID查询数据库的话是这么写

select * from 表名 where sid = #{id}

不固定表名的话,SQL语句是这样写的,table是需要传入的表名

select * from ${table} where sid = #{id}

如果将表名用 #{} 而不是 ${} 则会报错

结论

在百度上查了一通后发现 #{} 会自动给括号里的内容加上 “” ,目的是防止SQL注入
${} 则不会为内部的内容加上 “” ,这样就会有SQL注入的危险
Mybatis中有一个专门负责别名的注解:@Param(“”),为相应的变量取一个别名,防止冲突

浅谈mybatis中的#$区别
09-02
MyBatis中,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mabitis中的#$符号区别及用法介绍
08-31
MyBatis中,`#`和`$`符号在SQL动态语句中扮演着不同角色,它们的主要区别和用法如下: 一、`#``$`的区别 1. `#{}`:MyBatis将`#{}`视为PreparedStatement的参数标记符。当SQL语句中的`#{}`被解析时,它会被...
mybatis - 取值符号#$区别
pig_ning的博客
04-25 1190
mybatis - 取值符号#$区别
MyBatis#$符号区别
严文文 Chris
09-02 794
mybatis中使用Mapper.xml里面的配置进行sql查询,经常需要动态传递参数,例如,我们根据用户的姓名来删选用户是,sql如下: Select * from user where name=“Jack”; 上述sql中,我们希望name的参数jack是动态可变的,既不同的时刻根据不同的姓名来查询用户,在Mapper.xml文件中使用如下的生气了可以实现动态传递参数 name: Se...
mybatis#$符号区别
日薪灬越亿的博客
03-07 182
面试中经常遇到mybatis#$相关问题,在这里总结一下。 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $u...
mybatis中sql语句中的#$
hangshao的博客
03-14 1003
一直写mybatis的sql语句,当时想只要实现它的功能就行了,也没过多的去理解; 首先我们大家都知道#$都是用来传值的,但他们之间是怎么区分的呢?什么时候用哪个呢? 1、#将传入的数据都当成字符串,执行sql时会对传入的数据自动加上引号,如:where time like concat (#{time},'%'),如果传入的值为2016-10-1,解析为sql时则为where time l
MyBatis篇】四. MyBatis高级第一章 #{}和${}符号区别(共三章)
TheNew_One的博客
01-07 274
MyBatis高级第一章 #{}和${}符号区别 github源码(day56-mybatis-senior)https://github.com/1196557363/ideaMavenProject #{}和${}符号区别 (具体案例在下面) 项目准备 使用idea创建maven项目(不用web项目) pom.xml导包 <?xml version="1.0" encoding...
【编程基础知识】Mybatis#$两种参数替换符合有啥区别
Dylaniou的博客
09-09 397
Mybatis#$两种参数替换符合有啥区别
MyBatis#$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 2012
#{}和${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
mybatis#$使用和区别
学无止境
02-27 1220
mybatis#$使用和区别
mybatis$#取值的区别
qq_18846873的博客
04-27 1670
mybatis中可以使用${} 和 #{}两种方法获取参数,二者的区别如下: 1、在传入参数为8种基本类型+String类型时, ${value}:原值替换,并且{}中只能写成value #{任意名称}:在任意名称前后加引号,并且{}中可以写任意名称都可以识别; 2、在传入参数为对象类型时, #{属性名} :{中必须为属性名},有引号 ${属性名}:{中必须为属性名},无引号 3、...
mybatis#符号
liu_xin_xin的博客
07-30 187
#{id} 这句话告诉mybatis创建一个PreparedStatement类,它所对应的参数会由?来标识,并把传的值给替换掉 //JDBC代码 String selectPerson = "SELECT * FROM PERSON WHERE ID=?"; PreparedStatement ps = conn.prepareStatement(selectPerson); ps.setInt(1,id); //MyBatis代码 <select id="selectPerson" param
MyBatis引起的SQL语法错误
lcszz0302的博客
04-25 2167
当我们在使用MyBatis框架时,有时会报SQL语法错误,例如这样 这时我们去检查xml文件里面的SQL语句,也没发现什么错误啊,这个时候你就应该想到是不是由MyBatis这个框架引起的了,因为MyBatis这个框架虽然简化我们日常的开发,但是它有的时候是需要往我们写的SQL语句里面去添加东西的,比如说,我们写的分页查询,当我们用到MyBatis的时候,它会自己在SQL后面加上limit xxx这个,但是如果我们在原来写的SQL语句里面加上了分号,这个时候MyBatis就不能再往我们写的SQL里面添加lim
Mybatis拼接Sql语句异常($#区别
黑暗之神的博客
10-11 1669
delete TRAIN_INFO where #{sql} 之前这样写一直报SQL错误    将#{sql}改为 ${sql} 编译成功 原来用${} 就不会当成字符串解析 会直接加上去 不过这个要慎用 防止被sql注入 mybatis xml 解析传入参数有2种 #{} ${} 前面那种会把你传入的参数当成字符串解析 也就是你无论传入什么 都会被加上''号 后面那一种
简单粗暴:mybatis #{}和${}区别
andQ的博客
07-28 286
#{} == PreparedStatement --&gt;用于给sql传值 ${} == Statement --&gt;用于拼接sql语句:比如拼接升序/降序order by asc/desc
《深入理解mybatis原理(十二)》 mybatis深入理解之#$区别
热门推荐
pfnie的博客
11-19 1万+
一、介绍       mybatis 中使用 Mapper.xml里面的配置进行 sql 查询,经常需要动态传递参数,例如我们需要根据用户的姓名来筛选用户时,sql 如下: select * from user where name = "Jack";上述 sql 中,我们希望 name 后的参数 "Jack" 是动态可变的,即不同的时刻根据不同的姓名来查询用户。在 Ma
mybatis#{}和${}符号区别
一叶知秋
11-07 4993
Mybatis的接口映射文件UserMapper.xml、参数传递有2种方式、一种是#{}、另一种是${} 二者有着很大的区别#{} 实现的是sql语句的预处理参数、之后执行sql中用?号代替、使用时不需要关注数据类型、mybatis自动实现数据 类型的转换、并 且可以防止sql注入 ${} 实现是sql语句的直接拼接、不做数据类型转换。需要自行判断数据类型、不能防止sql注入 总结...
mybatis学习笔记(5):Mapper XML中参数接收#{}和${}的区别
YellowStar的博客
06-30 2955
 动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 在下面的语句中,如果 username 的值为 zhangsan,则两种方式无任何区别: select * from user where name = #{na...
#$符号区别
Jay_unique的博客
12-29 4483
#KaTeX parse error: Expected 'EOF', got '#' at position 29: … 共同点: #̲和都是用来取值的 参数传递普通类型(基本数据类型和他的包装类。再加一个String) #: 正常发送的sql语句 SELECT * FROM t_student WHERE id=? $: 传递普通类型,它是要报错的,取不到值 参数传...
mybatis#$区别
最新发布
12-30
### MyBatis 中 `#` 和 `$` 符号区别 #### 占位符功能差异 在 MyBatis 中,`#{}` 和 `${}` 都可以作为占位符来插入参数到 SQL 语句中。然而两者的工作机制存在显著不同。 当使用 `#{}` 形式的占位符时,MyBatis 将其视为预处理语句 (PreparedStatement) 的参数绑定方式[^1]。这意味着实际的 SQL 发送到数据库之前会先由 JDBC 进行一次转义处理,从而有效防止 SQL 注入攻击的发生。 而采用 `${}` 方式,则是直接替换模板中的变量名为其对应的值字符串,并不做任何额外的安全检查或转换操作[^2]。因此,在某些特殊情况下可能会引入潜在风险。 #### 使用场景对比 由于上述特性上的差别,这两种语法适用于不同的编程环境: - 对于大多数常规查询条件构建而言,推荐优先选用 `#{}` 结构以增强应用程序的整体安全性; - 当遇到一些无法通过标准 API 实现的需求——比如表名、列名动态指定等情况时,则可能不得不借助 `${}` 完成相应逻辑编码工作;不过此时应当格外谨慎对待输入验证环节[^3]。 #### 示例代码展示 下面给出一段简单的例子说明如何分别运用这两种表达形式编写 Mapper XML 文件内的 SELECT 语句: ```xml <!-- 正确做法 --> <select id="findUserById" parameterType="int" resultType="com.example.User"> SELECT * FROM users WHERE user_id = #{userId} </select> <!-- 错误示范:容易遭受注入威胁 --> <select id="findByTableName" parameterType="string" resultType="map"> SELECT * FROM ${tableName} <!-- 不建议这样写 --> </select> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值