mybatis中的#{}和${}区别

最新推荐文章于 2025-10-07 15:41:50 发布
原创 最新推荐文章于 2025-10-07 15:41:50 发布 · 433 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了MyBatis基于JDBC封装,其Mapper.xml语句中parameterType向SQL传参有#{}和${}两种方式。#{}是预编译处理,可有效防止SQL注入;${}是字符串替换,易出现SQL注入问题。通过登录界面示例展示了两者差异,建议使用#{}取值。

Mybatis本身是基于JDBC封装的。Mybatis 的Mapper.xml语句中parameterType向SQL语句传参有两种方式:#{}和KaTeX parse error: Expected 'EOF', got '#' at position 13: {}。 我们经常使用的是#̲{},一般解说是因为这种方式可…时,就是把${para}替换成变量的值。
使用#{para}可以有效的防止SQL注入,提高系统安全性

  1. #{para}是预编译处理(PreparedStatement)范畴的;将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。
    如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”.
  2. ${para}是字符串替换;将传入的数据直接显示生成在sql中。
    如:order by $user_id $,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sql为order by id.

在登录界面的时候用户名输入为 2 or 1=1
如果使用的是${} 就会直接替换容易出现SQL注入的情况
select * from admin where name 2 = or 1=1
而#{}则为
select * from admin where name = “2 or 1=1”
在这里插入图片描述

例如在mybatis中使用用户的用户名和密码检验的时候
在这里插入图片描述
在xml中取值的时候,使用#{}

<select id="verifyPassword" resultType="java.lang.Integer">
    SELECT count(*) FROM admin where name = #{0} and password = #{1} ;
  </select>
mybatis#{}${}的区别
zhangxing
07-13 8365
1.mybatis中的#{} 一般地,#{}在mybatis中表示申明一个变量;使用#{}传参时,sql语句解析是会加上"",比如  select * from user where name = #{name} ,传入的name为zhangxing,那么最后 打印出来的sql为: select * from user where name = ‘zhangxing’,就是会当成字符串来解析
新人一看就懂: #{} ${} 的区别
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
Mybatis中的${}#{}区别
sebeefe的博客
06-08 264
动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前, mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{}以及${}提示:以下是本篇文章正文内容,下面案例可供参考(1)#{}:参数占位符,即预编译 (2)${} :字符串替换符,即SQL拼接(1)#{}:很大程度上能防止sql 注入 (2)${}:不能防止sql 注入DBMS:数据库管理系统(Database Management System)是一
MyBatis#{}${}
最新发布
2502_92141759的博客
10-07 931
特性#{}${}处理方式预编译,替换为?直接字符串拼接SQL 注入风险无(安全)有(危险)类型处理自动添加引号类型转换不处理,需手动添加引号适用场景大多数参数传递(条件、值等)动态 SQL 结构(表名、排序等)
MyBatis#{}${}的区别
m0_67683346的博客
02-28 5395
MyBatis#{}${}的区别
MyBatis#{}与${}的区别
qq_55961709的博客
05-05 268
MyBatis#{}与${}的区别
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$区别 在...
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis中的#$区别
09-02
MyBatis中,`#``$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
【编程基础知识】Mybatis#$两种参数替换符合有啥区别
Dylaniou的博客
09-09 397
Mybatis#$两种参数替换符合有啥区别
MyBatis#$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 2016
#{}${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
MyBatisMyBatis#{ } ${ }的区别
啊松同学的博客
01-11 1199
Mybatis#{ }${ }的区别
MyBatis#{}与${}的区别
小异常的博客
03-11 368
本篇博客主要讲解的是 MyBatis 中两种 动态 SQL 的语法:#{} ${}。 相信大学在学习 MyBatis 的时候,都会使用到 #{},而对 ${} 没怎么用过见过,那是因为现在 #{} 已经彻底替换了 ${},使用 ${} 太不安全了。
Mybatis——#{}${}的区别
热门推荐
想着百万年薪努力的小赵
07-08 5万+
在使用mybatis的时候我们会使用到#{}${}这两个符号来为sql语句传参数,那么这两者有什么区别呢?#{}是预编译处理,是占位符,${}是字符串替换,是拼接符Mybatis在处理#{}的时候会将sql中的#{}替换成?号,调用PreparedStatement来赋值 如: 设userName=yuze看日志我们可以看到解析时将#{userName}替换成了 ? 然后再把yuze放进去,外面加上单引号 设userName=yuze看日志可以发现就是直接把值拼接上去了 这极有可能发生sql注入,下面举了
MyBatis#{} ${} 的区别详解
秃头之旅
03-22 2258
MyBatis 是一个优秀的持久层框架,它简化了数据库操作,并提供了强大的 SQL 映射功能。在 MyBatis 中,#{}${}是两种常用的占位符,用于动态替换 SQL 语句中的参数。尽管它们看起来相似,但它们在处理方式安全性上有显著的区别。本文将详细探讨#{}${}的区别,并分析它们的适用场景。
mybatis中的#{}${}的区别
所有文章都可以查看。如果发现需要VIP才能看的文章,请留言,可能是发布的时候手抖了。
05-21 4077
1. 取值范围不同 MyBatis既可以获取执行SQL时插入的请求参数,也可以从主配置文件加载的配置文件中获取配置参数。 #{}只能获取请求参数的值,无法获取配置参数。 ${}在MyBatis初始化时能获取配置参数,如果没有,执行时再获取请求参数。 2. 处理方式不同 #{} 如果SQL中只有#{}或者可以被配置参数替换的${},那么在初始化时#{}就被解析成了占位符?。 如果SQL中有动态标签(例如if,where),或者无法被配置参数替换的${},那么#{}在执行SQL时才会被替换成占位符?。#{}的
mybatis#$区别
12-30
### MyBatis 中 `#` `$` 符号的区别 #### 占位符功能差异 在 MyBatis 中,`#{}` `${}` 都可以作为占位符来插入参数到 SQL 语句中。然而两者的工作机制存在显著不同。 当使用 `#{}` 形式的占位符时,MyBatis 将其视为预处理语句 (PreparedStatement) 的参数绑定方式[^1]。这意味着实际的 SQL 发送到数据库之前会先由 JDBC 进行一次转义处理,从而有效防止 SQL 注入攻击的发生。 而采用 `${}` 方式,则是直接替换模板中的变量名为其对应的值字符串,并不做任何额外的安全检查或转换操作[^2]。因此,在某些特殊情况下可能会引入潜在风险。 #### 使用场景对比 由于上述特性上的差别,这两种语法适用于不同的编程环境: - 对于大多数常规查询条件构建而言,推荐优先选用 `#{}` 结构以增强应用程序的整体安全性; - 当遇到一些无法通过标准 API 实现的需求——比如表名、列名动态指定等情况时,则可能不得不借助 `${}` 完成相应逻辑编码工作;不过此时应当格外谨慎对待输入验证环节[^3]。 #### 示例代码展示 下面给出一段简单的例子说明如何分别运用这两种表达形式编写 Mapper XML 文件内的 SELECT 语句: ```xml <!-- 正确做法 --> <select id="findUserById" parameterType="int" resultType="com.example.User"> SELECT * FROM users WHERE user_id = #{userId} </select> <!-- 错误示范:容易遭受注入威胁 --> <select id="findByTableName" parameterType="string" resultType="map"> SELECT * FROM ${tableName} <!-- 不建议这样写 --> </select> ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zhangvalue

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值