#{}与${}的区别(经典讲解)

最新推荐文章于 2025-03-22 16:06:09 发布
最新推荐文章于 2025-03-22 16:06:09 发布
阅读量294 收藏
点赞数
分类专栏: 程序员 文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zfx2013/article/details/89816292
版权
博客主要介绍MyBatis中#{}与${}的区别及使用。#{}解析时加引号,能防SQL注入;${}直接显示在SQL中,无法防注入。使用上,$多用于传入数据库对象,#用于传变量值,排序时order by动态参数用${}。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#{}与${}的区别是实战中经常遇到的问题,当然也是面试常考的问题

#{}

1、#{}用来传入参数,sql在解析的时候会加上" ",当成字符串来解析 ,如这里 role_id = “roleid”;
2、#{}能够很大程度上防止sql注入,mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值,提高系统的安全性。

${}

1、用${}传入数据直接显示在生成的sql中,如上面的语句,用role_id = r o l e I d , j d b c T y p e = I N T E G E R , 那 么 s q l 在 解 析 的 时 候 值 为 r o l e i d = r o l e i d , 执 行 时 会 报 错 ; 2 、 {roleId,jdbcType=INTEGER},那么sql在解析的时候值为role_id = roleid,执行时会报错; 2、 roleId,jdbcType=INTEGER,sqlroleid=roleid;2{}方式无法防止sql注入;

两者使用上的区别

1、$一般用入传入数据库对象(属性),比如数据库表名;
2、#一般用来传输属性对应的变量值
3、能用#{}时尽量用#{};

使用举例

1、

<select id="findUserByTableName" resultType="User">
 <!--SELECT * from #{tableName1}   运行会报错,编译后sql语句中含有引号,sql语句错误--> 
    SELECT * from ${tableName1}
</select>

2、mybaties排序时使用order by 动态参数时需要注意,使用${}而不用#{},原因如下

  1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”.
  2. $将传入的数据直接显示生成在sql中。如:order by u s e r i d user_id userid,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sql为order by id.
新人一看就懂: #{} 和 ${} 的区别
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
经典讲解List和ArrayList和Vector和HashTable和HashMap区别
02-17
`Vector`也是`List`接口的实现,`ArrayList`类似,但它是线程安全的。这意味着在多线程环境下,多个线程可以同时操作`Vector`而不会产生数据不一致的问题。但是,由于其同步机制,性能通常低于`ArrayList`。 4. ...
#{}${}的区别
热门推荐
诗人密语
06-19 3万+
本文摘自三篇文章,觉得有用。 ※:PreparedStatement不允许在插入参数时改变SQL语句的逻辑结构。 ※:为什么它这样处理就能预防SQL注入提高安全性呢?其实是因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库已参数化的形式进行查询,当运行时动态地把参数传给PreprareSt...
MyBatis 中 #{} 和 ${} 的区别详解
最新发布
秃头之旅
03-22 1381
MyBatis 是一个优秀的持久层框架,它简化了数据库操作,并提供了强大的 SQL 映射功能。在 MyBatis 中,#{}和${}是两种常用的占位符,用于动态替换 SQL 语句中的参数。尽管它们看起来相似,但它们在处理方式和安全性上有显著的区别。本文将详细探讨#{}和${}的区别,并分析它们的适用场景。
#{}和${}的区别是什么?
RJ_0517b的博客
12-23 1897
1、#{}是预编译处理,${}是字符串替换。 2、Mybatis 在处理#{}时,会将 sql 中的#{}替换为?号,调用 PreparedStatement 的 set 方法来赋值; 3、Mybatis 在处理${}时,就是把${}替换成变量的值。 4、使用#{}可以有效的防止 SQL 注入,提高系统安全性。 ...
#{}和${}
gege_0606的博客
10-19 1036
{}:先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}:先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。
初中化学经典例题讲解.doc
10-12
【知识点详解】 ...以上是基于初中化学经典例题的讲解,涵盖了化学方程式的正确性判断、化学反应类型的理解、物质分类的掌握以及溶液溶解度的基础知识。在学习过程中,理解和应用这些知识点是至关重要的。
大数据十大经典算法Navie-Bayes讲解课件.ppt
07-13
"大数据十大经典算法Navie-Bayes讲解课件.ppt" 本资源主要讲解了大数据十大经典算法之一的朴素贝叶斯算法(Naïve Bayes),该算法是机器学习领域中的一种经典算法,应用广泛,例如文本分类、图像分类、生物信息...
VCwin32的详细讲解 经典
04-20
【VCWin32的详细讲解】:Visual C++(简称VC)是Microsoft开发的一款集成开发环境,主要用于编写Windows平台的应用程序。Win32 API是Windows操作系统提供的编程接口,允许开发者编写底层的、直接系统交互的程序...
经典的sendBroadcastsendStickyBroadcast的区别分析讲解
02-22
sendBroadcast sendStickyBroadcast 的区别分析讲解 SendBroadcast 和 SendStickyBroadcast 是 Android 广播机制中两个广泛使用的方法,但是它们之间存在着一些关键的区别。本文将对这两种广播机制进行深入...
#{} 和 ${} 的区别
weixin_45817985的博客
07-13 3867
#{}${}
#{}和${}的区别
m0_54861649的博客
08-01 1758
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。因此我收集了一份《java开发全套学习资料》送给大家,初衷也很简单,就是希望帮助到想自学又不知道该从何学起的朋友,同时减轻大家的负担。{}没有这个功能,可以是sql手动拼接的,这里前后逻辑可能并不严密,但是sql入去最简单的例子就是这样。4.#{}的变量替换是在DBMS中、变量替换后,#{}对应的变量自动加上单引号。1.#{}是预编译处理,是占位符,${}是字符串替换,是拼接符。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值