Mybatis中向SQL传参时#{}和${}的区别

最新推荐文章于 2024-08-02 16:18:07 发布
最新推荐文章于 2024-08-02 16:18:07 发布
阅读量455 收藏 8
点赞数 4
分类专栏: MySQL 文章标签: mybatis sql java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75456895/article/details/138049981
版权

1. #{}使用预编译SQL,${}使用即时SQL

预编译SQL:编译一次之后会将编译后的SQL缓存起来,后面再次执行该语句时,不会再次编译,省去解析优化过程。

#{}使用预编译SQL,通过?占位的方式,提前对SQL进行编译,然后把参数填充到SQL语句中

2.  #{}会根据参数类型 ,自动拼接 ' ' ,${}会直接进行字符替换,如果参数为字符串时,需要手动添加 ' ' ;

看下面一个例子

1)当参数为Integer 类型时

@Mapper
public interface UserInfoMapper2 {
    @Select("select * from userinfo where id = #{id}")
    List<UserInfo> getUserInfoById1(Integer id);

    @Select("select * from userinfo where id = ${id}")
    List<UserInfo> getUserInfoById2(Integer id);
}


@Autowired
    private UserInfoMapper2 mapper2;
    @Test
    void getUserInfoById1() {
        List<UserInfo> list = mapper2.getUserInfoById1(1);
        System.out.println(list);
    }

    @Test
    void getUserInfoById2() {
        List<UserInfo> list = mapper2.getUserInfoById2(1);
        System.out.println(list);
    }

#{}的结果

${}的结果

2)当参数为字符串时

    @Select("select * from userinfo where username = #{name}")
    List<UserInfo> getUserInfoByName1(String name);

    @Select("select * from userinfo where username = ${name}")
    List<UserInfo> getUserInfoByName2(String name);


    @Test
    void getUserInfoByName1() {
        List<UserInfo> list = mapper2.getUserInfoByName1("admin");
        System.out.println(list);
    }

    @Test
    void getUserInfoByName2() {
        List<UserInfo> list = mapper2.getUserInfoByName2("admin");
        System.out.println(list);
    }

#{}的结果

${}的结果

当手动加上 ' ' 后,再次运行程序,结果正确

@Select("select * from userinfo where username = '${name}'")
    List<UserInfo> getUserInfoByName2(String name);

 

注意:当参数为Integer等类型时,使用${}也可以手动加上 ' ' ,但可能会使得索引失效,导致效率降低

3. #{}更安全,能够防止SQL注入,${}存在SQL注入风险;

SQL注入:通过操作输入的数据来修改事先定义好的SQL语句;看下面一个例子

    @Select("select * from userinfo where username = #{name}")
    List<UserInfo> getUserInfoByName3(String name);

    @Select("select * from userinfo where username = '${name}'")
    List<UserInfo> getUserInfoByName4(String name);

    
    @Test
    void getUserInfoByName3() {
        List<UserInfo> list = mapper2.getUserInfoByName3("admin' or 1='1");
        System.out.println(list);
    }

    @Test
    void getUserInfoByName4() {
        List<UserInfo> list = mapper2.getUserInfoByName4("admin' or 1='1");
        System.out.println(list);
    }

#{}的结果

${}的结果

 

由此看出, 本意只想传递一个参数,但通过${}传参查询到了所有结果,所以要尽量使用#{}预查询的方式

3. ${}的使用场景:排序功能(order by),模糊查询(like)等场景SQL语句中通过desc指定为降序排列,asc指定为升序排列(默认升序),但是其中desc和asc都不需要带引号,所以通过字符串传递时,直接使用#{}会自动添加 ' ',导致报错,而使用${}是需要手动添加 ' ',这时我们不手动添加就好了,看下面一个例子

    @Select("select * from userinfo order by id #{sort}")
    List<UserInfo> getUserInfoSort1(String sort);

    @Select("select * from userinfo order by id ${sort}")
    List<UserInfo> getUserInfoSort2(String sort);
    

    @Test
    void getUserInfoSort1() {
        mapper2.getUserInfoSort1("desc");
    }

    @Test
    void getUserInfoSort2() {
        mapper2.getUserInfoSort2("desc");
    }

#{}的结果

 

${}的结果

可以看出使用${}结果正常, 而此时仍存在SQL注入风险,此时可以写后端代码判断传来的参数是否符合预期,来解决SQL注入问题;

使用#{},搭配MySQL的内置函数concat()来处理某些特定场景,看看下面这个例子

    @Select("select * from userinfo where username like '%#{param}%'")
    List<UserInfo> getUserInfoLike1(String param);

    @Select("select * from userinfo where username like '%${param}%'")
    List<UserInfo> getUserInfoLike2(String param);


    @Test
    void getUserInfoLike1() {
        mapper2.getUserInfoLike1("h");
    }

    @Test
    void getUserInfoLike2() {
        mapper2.getUserInfoLike2("h");
    }

#{}的结果 

${}的结果

可以看到直接使用#{}会报错,而${}则没有问题,下面将使用concat函数实现

    @Select("select * from userinfo where username like concat('%',#{key},'%')")
    List<UserInfo> getUserInfoLike3(String param);

    
    @Test
    void getUserInfoLike3() {
        mapper2.getUserInfoLike3("h");
    }

可以看到使用#{}搭配concat函数也能正确查询了。 

Rcnhtin
关注
专栏目录
#{}和${}的区别
m0_54861649的博客
07-27 844
2.Mybatis在处理#{}的候会将sql中的#{}替换成?{}没有这个功能,可以是sql手动拼接的,这里前后逻辑可能并不严密,但是sql入去最简单的例子就是这样。在使用mybatis候我们会使用到#{}和${}这两个符号来为sql语句传参数。4.#{}的变量替换是在DBMS中、变量替换后,#{}对应的变量自动加上单引号。1.#{}是预编译处理,是占位符,${}是字符串替换,是拼接符。6.使用#{}可以有效的防止sql注入,提高系统的安全性。{}替换成变量的值,调用Statement来赋值。...
#{}与${}的区别
weixin_44863976的博客
09-08 1万+
#{}与${}的区别 区别 1. #{} 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符;而${}仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。 2. #{} 解析之后会将String类型的数据自动加上引号,其他数据类型不会;而${} 解析之后是什么就是什么,他不会当做字符串处理。 3...
Mybatis实战:#{} 和 ${}的使用区别和数据库连接池
最新发布
LHY537200的博客
08-02 1683
{} 和 ${}#{} 和 ${} 在MyBatis框架中都是用于SQL语句中参数替换的标记,但它们在使用方式和处理参数值上存在一些显著的区别。特点1.1Interger类型的参数1.先看Interger类型的参数2.观察日志3.查看日志中的输出语句我们输⼊的参数并没有在后⾯拼接,id的值是使⽤?进⾏占位. 这种SQL 我们称之为"预编译SQL"。4.我们把#{}改成${}5.再次查看输出日志信息可以看到, 这次的参数是直接拼接在SQL语句中了。
sql注入实例分析
weixin_30624825的博客
07-23 3473
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执...
深入理解MyBatis中的#{ }和${ }占位符及参数传递过程
IT小辉同学
01-18 1156
MyBatis是一个广泛使用的持久层框架,它以其强大的数据库访问能力和灵活的SQL映射配置而著称。在MyBatis中,#{ } 和 ${ } 是两种常用的占位符,用于构建动态的SQL语句。本文将深入研究这两种占位符的用法、区别,并详细探讨参数MyBatis中的传递和接受过程。通过本文的介绍,希望能够更深入地理解这两种占位符在MyBatis中的应用和差异,并在实际项目中选择合适的占位符来构建动态SQL语句。占位符,特别是涉及用户输入的地方,以确保SQL的安全性。方法的参数中获取的。在实际项目中,推荐使用。
MyBatis 中 #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1295
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS中 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
Mybatis中#{}和${}传参区别及#和$的区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参有着显著的差异,同也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
详解mybatis #{}和${}的区别传参、基本语法
08-18
MyBatis中#{}和${}的区别传参、基本语法 MyBatis是一个基于Java的持久层框架,它提供了一个强大的SQL映射机制,能够将Java对象与数据库表之间建立映射关系。在MyBatis中,#{}和${}是两个非常重要的符号,它们用于...
sql注入、Mybatis中的#{参数}和${参数}
qq_45859087的博客
08-08 956
sql注入、Mybatis中的#{参数}和${参数}sql注入概述:mybatis中的#{参数} 和 ${参数}sql注入解决方案#{参数}和${参数}总结 sql注入概述: 针对SQL注入的攻击行为可描述为:在与用户交互的程序中(如web网页),非法用户通过可控参数注入SQL语法,将恶意sql语句输入拼接到原本设计好的SQL语句中,破坏原有SQL语法结构,执行了与原定计划不同的行为,达到程序编写意料之外结果的攻击行为,其本质就是使用了字符串拼接方式构造sql语句,并且对于用户输入检查不充分,导致SQL
MyBatis传参的#{}和${}的区别吗???
qq_64847107的博客
12-19 481
很显然,我们成功访问到了数据,假设这是真正的登录页面,我们只需知道账号就可登录成功,那么显然${}在开发中并不能满足我们的需要。
Mybatis中的#和$的区别
热门推荐
qq_27811247的博客
06-22 4万+
在学校的候,想必大家肯定听老师讲过,在mybatis中,配置参数要用#,不要用$符号。因为$不安全,容易被sql注入。讲是这么讲,但是如何注入的,大家一起来看看吧。 一:下面我们写个关于“#”的个sql,看能不能注入。 <select id="selectUser" resultMap="BaseResultMap"> SELECT ...
mysql传参数 和 区别_Mybatis:传入参数方式以及#{}与${}的区别
weixin_42516903的博客
01-18 668
一、在MyBatis的select、insert、update、delete这些元素中都提到了parameterType这个属性。MyBatis现在可以使用的parameterType有基本数据类型和JAVA复杂数据类型基本数据类型:包含int,String,Date等。通过#{参数名},只能传入一个参数;通过#{0}、#{1}……索引方式,可以传入多个参数;如果通过#{参数名}传多个值,又不想使...
sql语句中 #{}与${}的用法
cmjimmy的博客
08-24 2万+
1介绍 测试 ${} 在没有特殊要求情况下,通常我们使用#{}占位符,有些情况下必须使用${}了解即可 例如:需要动态拼接表名. 下面是模糊查询的应用#{}与${} 下面是错误的使用#{} 下面是正确的方式使用#{}模糊查询 掌握. ...
#{}和${}的区别
weixin_50977434的博客
11-10 2541
简单明了实用
新人一看就懂: #{} 和 ${} 的区别
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
面试突击76:${} 和 #{} 有什么区别
Chenhui98的博客
08-23 479
{}${}是直接替换,而 #{} 是预处理;2、使用场景不同:普通参数使用 #{},如果传递的是 SQL 命令或 SQL 关键字,需要使用${},但在使用前一定要做好安全验证;3、安全性不同:使用${}存在安全问题,而 #{} 则不存在安全问题。来源:https://juejin.cn/post/7134865815001628702。
Mybatis之一个SQL语句说清#{}和${}的区别
wuud__的博客
02-16 324
先创建一个方法用来进行测试,方法对应xml文件内的sql语句如下 <select id="getMoreById" resultType="cn.mybatis.demo1.model.User"> select * from User where id= ${start_id} or id = #{end_id} </select> 修改Myba...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Rcnhtin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值