MyBatis 动态参数时需要注意,用$而不是#

最新推荐文章于 2024-06-24 14:58:13 发布
最新推荐文章于 2024-06-24 14:58:13 发布
阅读量3k 收藏
点赞数
分类专栏: JAVA技术 文章标签: mybatis java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fullbug/article/details/52881320
版权

1、字符串替换
默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,可以这样来使用:
ORDER BY ${columnName}
这里MyBatis不会修改或转义字符串。
重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。


2、特殊符号处理

在Mybatis的配置文件中经常会用到<、>等符号,在XML的配置文件中会存在问题。可以通过加入<![CDATA[ ....]]>让在标签中的特殊符号不被处理。如:

<select id="selectNextArticle" resultType="Article">
        SELECT 
            <include refid="cmsArticleColumns"/>
        FROM cms_article a
        <include refid="cmsArticleJoins"/>
        <![CDATA[
        WHERE a.article_id > #{articleId} ORDER BY id DESC LIMIT 1
        ]]>
    </select>

xiejava1018
关注
专栏目录
【SSM】MyBatis动态代理及参数传递
offer!
05-13 1193
目录 一、原始dao开发的问题 二、mapper动态代理模式 三、测试 四、Mybatis的多参数传递 ①:JavaBean传递模式(传递的参数JavaBean的实体类) ②:Map模式(如果传递的参数个数较少而且没有对应的JavaBean) ③:注解@param模式 五、参数为集合或数组 一、原始dao开发的问题 程序员需要写dao接口和dao实现类,需要向...
mybatis动态sql及#与$的区别及分页和特殊字符的区别
m0_60375943的博客
12-13 325
课程目标 搭建mybatis框架环境 基于ssm逆向工程的使用(IDEA) Mybatis增删改查案例
mybatis 动态sql参数传递
12-14
目录 使用场景 动态标签 if标签 where标签 choose、when、otherwise 标签 set标签 trim标签 forEach标签 参数传递 单个参数传递 多个参数传递 传入单个实体(JavaBean/Map) 传入多个实体 传入集合 使用场景 在实际开发过程中,我们往往需要编写复杂的SQL语句,拼接稍有不注意就会导致错误,Mybatis给开发者提供了动态SQL,大大降低了拼接SQL导致的错误。 动态标签 if标签 if标签通常用那个胡where语句,update语句,insert语句中,通过判断参数值来决定是否使用某个查询条件,判断是否更新某一个字段或插入某个字段
MyBatis 向Sql语句中动态参数·动态SQL拼接
weixin_33827965的博客
11-30 2006
动态传递参数候,需要用到OGNL表达式,不懂的童鞋可以下去百度,这制作一个简要的介绍 在向XML文件传递参数候,需要用到sqlSession.selectList("Message.queryMessageList",message); message就是你要传递的参数。一般来说,这个message是一个对象,因为这只能传递一个参数,而对...
mybatis中什么情况下必须使用 ${}
最新发布
伊宸轩的博客
06-24 604
2.order by排序语句中,因为order by 后边必须跟字段名,这个字段名不能带引号,如果带引号会被识别会字符串,而不是字段。参数user上会带着单引号,而单引号在mysql中会被识别为字符串,select一个字符串肯定是会报错的。而如果我们使用${}的方式编写的sql,${} 是进行sql拼接,,其他情况都尽量使用#{}的方式,因为${}会有sql注入的问题。中如果我们使用#{}的方式编写的sql,#{} 对应的变量。1.当sql中表名是从参数中取的情况。
MyBatis动态传递参数的两种方式#{}和${}
bisal的专栏
10-26 3588
最近做的Java规范更新涉及到MyBatis映射配置文件中动态传递参数的两种方式#{}和${},两者的区别,(1) #{}为参数占位符?,即SQL预编译。${}为字符串替换,即SQL拼接,...
Mybaits源码学习(七):动态参数
仔哥学编程
08-03 1334
Mybatis动态SQL
Mybatis中的${}和#{}区别
m0_67402588的博客
09-09 1260
动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前, mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{}以及${}提示:以下是本篇文章正文内容,下面案例可供参考深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料。
Mybatis中#{}和${}的用法
热门推荐
li_w_ch的博客
11-17 1万+
1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。 比如, select * from student where student_name = #{studentName} 如果传入的值为xiaoming,那么解析成sql的值为student_name="xioming"。 2、${}将传入的数据直接显示生成在sql中。 如 : select ${fieldNmae} from student where student_age = 18 此,传入的参数作为要查询的字
Java Mybatis中的 ${ } 和 #{ }的区别使用详解
08-18
Java Mybatis中的 ${ } 和 #{ }...同,#{ } 占位符还能够防止 SQL 注入,这是我们在使用 Mybatis 需要注意的地方。 因此,在使用 Mybatis ,我们应该尽量使用 #{ } 占位符,以防止 SQL 注入和确保数据库的安全。
Mybatis 参数拼接 #{} 和 ${}
ybbgrain的历程
12-29 1017
概述 在服务的使用"%"+target+"%"这种方式直接拼接到参数上面会有SQL注入的风险,但是在sql层面取拼接参数就不会。 mybatis拼接参数使用方式 like concat(concat("%",#{districtName}),"%")
MyBatis 中 ${}和 #{}的正确使用方法(千万不要乱用)
08-18
主要介绍了MyBatis 中 ${}和 #{}的正确使用方法,本文给大家提到了MyBatis 中 ${}和 #{}的区别,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Mybatis拼接参数和字符串
JonyM的博客
08-25 2895
concat(#{param},’,’)
Mybatis拼接\%作为参数
nero_claudius的博客
12-15 1738
Mybatis拼接\%作为参数 前言:当使用模糊查询,如果sql语句未做%处理,当在输入框传入%号会获得查询数据库的所有数据。这是因为%号为sql语句中的特殊字符,代表替代一个或多个字符,sql查询语句拼接成%%%,所以查出了所有的数据。 我们很容易想到的解决方案就是使用转义的\来转义%。但你以为这样一切就结束了吗?那还是你太天真了。一般我们想将字符串进行替换,都会想到String对象的r...
mybatis动态SQL参数传递[笔记]
Gavin
12-02 2368
动态 SQL 是 MyBatis 的强大特性之一 在 MyBatis 之前的版本中,需要间了解大量的元素。借助功能强大的基于 OGNL 的表达式,MyBatis 3 替换了之前的大部分元素,大大精简了元素种类,现在要学习的元素种类比原来的一半还要少。 准备案例, 三步走----->>. 创建数据库,建立数据表,如果你之前就有了的话,可以直接拿来用; 建数据库,建立表,插入数据 SET NAMES utf8mb4; SET FOREIGN_KEY_CHECKS = 0; -- ----
mybatis动态参数传递方式总结大全
new_buff_007的博客
11-19 1278
在使用mybatis候报了一个这样的错误。其实知道是因为参数传递的不对,但是一直忘记了如何修改。所以在这整理一下: 传递参数: (1)传递一个基本数据类型的数据 通过parameterType来指定参数的类型 <select id="selectLimitSays" resultMap="saywordsMap" parameterType="Integer"> ...
mybatis中什么情况下必须使用 ${},#{}与${}的区别
Ahuuua的博客
01-28 7439
mybatis中如果我们使用#{}的方式编写的sql,#{} 对应的变量自动加上单引号 ' ' 例如: select * from #{param} 当我们给参数传入值为user,他的sql是这样的: select * from 'user' 参数user上会带着单引号,而单引号在mysql中会被识别为字符串,select一个字符串肯定是会报错的。 而如果我们使用${}的方式编写的sql,${} 是进行sql拼接,${}对应的变量是不会被加上单引号 ' ' 的。 sele..
MyBatis中#{}和${}的不同和${}的妙用
Marvel__Dead 胡艺宝的博客
04-14 1万+
突然意识到sql语句的独特语义要和代码分离,我们就不能够在代码中写sql语句!!比如我要用${}在MyBatis的sql中拼接排序类型的候,我就不能够在Java代码中直接写参数字符串为Order By哪儿个类型#{}和${}的基本不同我就不想说了,这要说的是进一步对占位符和字符拼接的字面语义的领悟!!#{}和${}基本不同在这篇文章的最后有提到过占位符:占位符就是在某个地方占领一个位置,把它单独
MyBatis 中 “#” 和 “$” 的区别。
04-01
#{}” 和 “${}” 的区别是什么?...总的来说,“#{}” 更加安全可靠,但它不能用于动态生成 SQL 语句,而“${}” 可以用于动态生成 SQL 语句,但需要注意安全问题。所以在使用需要根据具体情况选择合适的方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiejava1018

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值