Mybatis中的 ${} 和 #{}区别与用法

最新推荐文章于 2024-08-14 10:30:03 发布
最新推荐文章于 2024-08-14 10:30:03 发布
阅读量6.4w 收藏 182
点赞数 36
分类专栏: Mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/j04110414/article/details/78914787
版权

Mybatis 的Mapper.xml语句中parameterType向SQL语句传参有两种方式:#{}和${}

我们经常使用的是#{},一般解说是因为这种方式可以防止SQL注入,简单的说#{}这种方式SQL语句是经过预编译的,它是把#{}中间的参数转义成字符串,举个例子:

select * from student where student_name = #{name} 

预编译后,会动态解析成一个参数标记符?

select * from student where student_name = ?

而使用${}在动态解析时候,会传入参数字符串

select * from student where student_name = 'lyrics'


总结:

#{} 这种取值是编译好SQL语句再取值
${} 这种是取值以后再去编译SQL语句

  • #{}方式能够很大程度防止sql注入。
  • $方式无法防止Sql注入。
  • $方式一般用于传入数据库对象,例如传入表名.
  • 一般能用#的就别用$.
举个activiti工作流的例子:
select * from ${prefix} ACT_HI_PROCINST where PROC_INST_ID_ = #{processInstanceId}

陈汐01
关注
专栏目录
mybatis的#和$的区别
kobi521的专栏
11-25 11万+
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是111,那么解析成sql时的
Mybatis的${}和#{}区别
m0_62520968的博客
05-10 1423
一、${}与#{}的区别 1、符号类型 (1)#{}:参数占位符,即预编译 (2)${} :字符串替换符,即SQL拼接 2、防注入问题 (1)#{}:很大程度上能防止sql 注入 (2)${}:不能防止sql 注入 3、参数替换位置 DBMS:数据库管理系统(Database Management System)是一种操纵和管理数据库的大型软件,是用于建立、使用和维护数据库,简称DBMS。它对数据库进行统一的管理和控制,以保证数据库的安全性和完整性。用户通过DBMS访问数据库的数据,数据库管理员也通
mybatis#和$的区别
最新发布
weixin_64922330的博客
08-14 645
简单介绍mybatis#和$的区别
#{}与${}的区别
q_all_is_well的博客
08-10 1万+
经常碰到这样的面试题目:#{}和${}的区别是什么? 网上的答案是:#{}是预编译处理,{}是字符串替换。mybatis在处理#{}时,会将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值;mybatis在处理{}是字符串替换。mybatis在处理#{}时,会将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值;mybatis...
Mybatis的#{} 和 ${}区别、联系及用法
CJW的博客
04-13 1546
Mybatis的 #{} 和 ${}区别于联系 一般业务开发或学习时,最需要注意的是:当我们的数据库表名作为参数或者利用order by进行查询结果排序时需要使用${},其他情况尽量使用#{},能够防止SQL注入,反正就是一句话,除了特殊情况,能用#{}尽量用#{}。 1. 联系 #{} 和 ${}都能够使Mybatis实现动态传递参数; 2. 区别 作用:#{}直接给数据加增加一对儿引号,${}则是直接显示数据,数据本身是啥就是啥。 在动态获取id时,#{}的位置 id = ? ,是一个占位符.
MyBatis ${}和 #{}的正确使用方法(千万不要乱用)
08-18
MyBatis框架,${} 和 #{} 是两种不同的参数占位符,它们的使用方式和作用有明显的区别,对于SQL语句的安全性和效率有着重要影响。 1. #{} #{} 是预编译处理的方式,也被称为参数绑定或者预处理。在处理 #{ } ...
详解Mybatis的 ${} 和 #{}区别用法
08-18
Mybatis的 ${} 和 #{}区别用法详解 Mybatis 是一个基于 Java 的持久层框架,它提供了一个简单的方式来进行数据库操作。在 Mybatis ,使用 ${} 和 #{} 两种方式来传递参数,但它们之间有着很大的区别。 ${} ...
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
彻底搞懂MyBaits#{}和${}的区别
緑水長流*z
07-11 2万+
MyBatis的`#{}`之所以能够预防SQL注入是因为底层使用了`PreparedStatement`类的`setString()`方法来设置参数,此方法会获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则会在前面加上一个`'/'`代表转义此符号,让其变为一个普通的字符串,不参与SQL语句的生成,达到防止SQL注入的效果。 **其次`${}`本身设计的初衷就是为了参与SQL语句的语法生成**,自然而然会导致SQL注入的问题(不会考虑字符过滤问题)。
MyBatis#获取参数和$获取参数的区别
weixin_44423175的博客
01-19 622
MyBatis#获取参数和$获取参数的区别 #获取参数 使用#{param}引用参数传值时: 1.使用新对象传递,防止SQL注入 2.字段是字符串类型会自动拼接双引号 $获取参数 使用${param}引用参数传值时: 1.直接把参数值拼在SQL,尊在SQL注入问题 2.不会为字符串类型的参数拼接双引号导致SQL异常 最后,从安全性上考虑,能使用#尽量使用#来传参,这样可以防止SQL注入的问题。...
${}语法
前端-黎姿
03-22 2万+
${ }是es6新增的字符串方法 可以配合单反引号完成字符串拼接的功能 为什么要用模板字符串 在ES2015之前,如果在字符串插入一个JavaScript表达式,需要使用如下形式: let job=“web前端开发工程师”; let str1=“我是”+job+",工作5年了"; 上面代码将变量job插入到字符串,需要使用+进行字符串连接。 如果插入的数量较多,或者说较为复杂的操作...
shell语法之${},``,$(),$(())四种语法含义
zhangxiping
09-03 1万+
##1.${ } 变量、截取、替换 1.获取变量值 ${}获取变量的值,下面例子,定义了变量a,值test [root@zxp1 /opt/script]# a=test [root@zxp1 /opt/script]# echo $a //可以省略{} test [root@zxp1 /opt/script]# echo ${a} test [root@zxp1 /opt/script...
EL表达式 (详解)
热门推荐
qwerasdf123的专栏
05-15 30万+
 EL表达式     1、EL简介1)语法结构       ${expression}2)[]与.运算符     EL 提供.和[]两种运算符来存取数据。     当要存取的属性名称包含一些特殊字符,如.或?等并非字母或数字的符号,就一定要使用 []。例如:         ${user.My-Name}应当改为${user
Mybatis的${}和#{}使用场合
08-20
MyBatis,${}和#{}是用来替换SQL语句的参数的。它们的使用场合略有不同。 ${}是字符串替换,当MyBatis处理${}时,它会将SQL的${}替换为变量的值,传入的数据不会加两边加上单引号。这种情况适用于需要动态拼接SQL语句的场景,比如动态指定表名或列名。 #{}是预编译处理,当MyBatis处理#{}时,它会将SQL的#{}替换为?,然后调用PreparedStatement的set方法来赋值。传入的字符串会在值两边加上单引号,以确保安全性和正确性。这种情况适用于需要传入参数并进行预编译的场景,比如查询条件的参数。 总结起来,${}适用于动态拼接SQL语句的场景,而#{}适用于传入参数并进行预编译的场景。在使用时,我们需要根据具体的需求选择合适的方式来处理参数。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Mybatis $ 和 #千万不要乱用](https://blog.csdn.net/wyouwd1/article/details/126130428)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [Mybatis系列:Mybatis $ 和 # 千万不要乱用!](https://blog.csdn.net/Mrs_chens/article/details/90403648)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值