mybatis里面 ${} 和 #{}区别

最新推荐文章于 2023-07-25 11:15:00 发布
最新推荐文章于 2023-07-25 11:15:00 发布
阅读量297 收藏
点赞数
分类专栏: MyBatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27752831/article/details/52526833
版权 
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".
  
2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为order by user_id,  如果传入的值是id,则解析成的sql为order by id.
  
3. #方式能够很大程度防止sql注入。
  
4.$方式无法防止Sql注入。

5.$方式一般用于传入数据库对象,例如传入表名.
  
6.一般能用#的就别用$.

MyBatis排序时使用order by 动态参数时需要注意,用$而不是#

字符串替换
默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用:
ORDER BY ${columnName}
这里MyBatis不会修改或转义字符串。
重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查
狮子悬山
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ibatis和mybatis区别
02-22
里面总结了ibatis和mybatis的主要区别,包括xml文件等
新人一看就懂: #{} 和 ${} 的区别
CYK_byte的博客
03-01 9735
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
#和$的区别
C18298182575的博客
07-13 9090
MyBatis:#和$的区别 一、结论   #{}:占位符号,好处防止sql注入   ${}:sql拼接符号 二、具体分析 动态 SQL 是 mybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } 和 ${ } 会有不同的表现。 #{ }:解析为一个 JDBC 预编译语句(prepa
mybatis中的#和$的区别?
gol_phing的博客
08-12 688
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为
# 和 $ 的区别
最新发布
薛定谔的猫的博客
07-25 1653
预编译处理:Mybatis在处理#{}时候,会将SQL中的#{}转换为?,使⽤ PreparedStatement 的 set ⽅法来赋值。直接替换:是MyBatis 在处理 ${} 时,就是把 ${} 替换成变量的值。
【ibatis】ibatis 中 $与#的区别
龙腾四海365的专栏
04-06 1500
ibatis 中 $与#的区别 我们在使用iBATIS时会经常用到#和$这两个符号。 一 .#与$区别说通俗一点就是          $中间的变量就是直接替换成值的          #会根据变量的类型来进行替换          比如articleTitle的类型是string, 值是"标题"的时候               $articleTitle$ = 标题
Spring、SpringMVC和Mybatis框架整合包
12-29
MyBatis:如果你问我它跟鼎鼎大名的Hibernate有什么区别?我只想说,他更符合我的需求。第一,它能自由控制sql,这会让有数据库经验的人(当然不是说我啦捂脸)编写的代码能搞提升数据库访问的效率。第二,它可以...
mybatis-generator-core-1.3.7和mybatis-generator-core-1.3.5
10-25
里面mybatis-generator-core-1.3.7和mybatis-generator-core-1.3.5,已经增加PaginationPlugin类,方便generator生成分页代码。调用 <plugin type="org.mybatis.generator.plugins.PaginationPlugin">,解决了解决...
Spring MVC 3.2.10 + Mybatis3.2.7+Mysql
08-12
1、Spring采用的是3.2.10,3系列的最后一个本,比较喜欢新的东西,Mybatis采用的是3.2.7,也是最新的,和之前batis还是有差别的,xml里面传参数的格式变了,类型关键词也变了。 我这里只实现了一个数据库的查询: ...
【Spring】总结Spring整合Mybatis的底层原理实现步骤
12-21
对象和Bean的区别: 1、Bean就是一个Java对象,是Spring帮我们New出来的对象。 2、从Spring容器中拿到的对象,会给对象里面的包含@AutoWired注解的属性进行自动注入赋值。而手动new出来的对象不会自动注入赋值。 ...
#{} 和 ${} 的区别
weixin_45817985的博客
07-13 2873
#{}与${}
$和#的区别
zs1342084776的博客
09-19 3401
$和#的区别     1.$和#都可以充当占位符,$符号的底层是由Statement实现的,         #底层是由PreparedStatement实现的     2.#是先编译sql语句,然后在传值,给传入的值都加上双引号           $是直接拼接字符串,不会给传入的值加上双引号 &lt;!--(1)实体类 com.xalo.entity--&gt; public cl...
#与$符号的区别
Jay_unique的博客
12-29 4146
#与KaTeX parse error: Expected 'EOF', got '#' at position 29: … 共同点: #̲和都是用来取值的 参数传递普通类型(基本数据类型和他的包装类。再加一个String) #: 正常发送的sql语句 SELECT * FROM t_student WHERE id=? $: 传递普通类型,它是要报错的,取不到值 参数传...
mybatis #{}和${}的区别是什么
weixin_30895603的博客
04-16 1567
#{}和${}的区别是什么?正确的答案是:#{}是预编译处理,${}是字符串替换。(1)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值。(2)mybatis在处理${}时,就是把${}替换成变量的值。(3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输...
#与$区别
li11261221的博客
11-25 3782
1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于select id,name,age from student where id ='1'. 2 $是将传入的数据直接显示生成sql语句,eg:select id,name,age from student where id =${id},当前端把id值1,传入到后台的时候,就相当于select id,name,age ...
mybatis #{}和${}的区别
热门推荐
wangml的博客
10-29 1万+
他们之间的区别用最直接的话来说就是:#相当于对数据 加上 双引号,$相当于直接显示数据。 1、#对传入的参数视为字符串,也就是它会预编译,select * from user where name = #{name},比如我传一个csdn,那么传过来就是 select * from user where name = 'csdn'; 2、$将不会将传入的值进行预编译,select * from...
Mybatis 中 #{}和${}的区别是什么?
weixin_52222660的博客
04-23 978
mybatis编写SQL语句的时候,经常需要用到,那么用来替换变量值的操作这两个符号,同样在一些Java面试中也经常被问到它们的区别。那么它们在使用上面有什么区别呢?
mybatis中的$和#占位符区别,sql注入怎么解决?
06-12
MyBatis中的#{}和${}都是用于占位符的,但是它们的作用有所不同。 #{}用于预编译参数,它会将参数值转义后再拼接到SQL语句中,可以有效防止SQL注入攻击。 ${}用于拼接SQL语句,它会将参数值原封不动地拼接到SQL语句中,如果参数值包含SQL注入攻击的关键字,就会造成安全问题。 因此,为了避免SQL注入攻击,建议尽量使用#{}占位符,并且不要将参数值直接拼接到SQL语句中。 如果必须使用${}占位符,可以通过在SQL语句中使用转义字符或者使用正则表达式对参数值进行过滤,来防止SQL注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值