MyBatis中#{}和${}的不同和${}的妙用

已于 2023-02-19 13:22:49 修改
阅读量7k 收藏 3
点赞数 5
分类专栏: 数据库 后端 框架 文章标签: Mybatis
于 2018-07-03 14:09:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Alex_81D/article/details/80897621
版权
数据库 同时被 3 个专栏收录
35 篇文章 1 订阅
订阅专栏
后端
31 篇文章 0 订阅
订阅专栏
框架
19 篇文章 0 订阅
订阅专栏

突然意识到sql语句的独特语义要和代码分离,我们就不能够在代码中写sql语句!!比如我要用${}在MyBatis的sql中拼接排序类型的时候,我就不能够在Java代码中直接写参数字符串为Order By哪儿个类型

#{}和${}的基本不同我就不想说了,这里要说的是进一步对占位符和字符拼接的字面语义的领悟!!

#{}和${}基本不同在这篇文章的最后有提到过

占位符:占位符就是在某个地方占领一个位置,把它单独作为某个东西,比如这里就是把它作为 值。 
字符拼接:字符拼接就是简单的对字符串拼接。没有特殊的其它含义。

问题出现:

不知道大家有没有想过一个问题

SELECT * FROM #{tableName} //有没有想过??

上面我们已经说过了占位符的意义就是作为值的存在,所以如果作为值的话,那么发送的sql语句就是这样的:

SELECT * FROM  ?

大家都知道MyBatis中这种sql语句是要经过预编译的,虽然MyBatis并没有真正的用上数据库的预编译功能(因为数据库的预编译默认是关闭的。。。而且MyBatis底层也是使用PreparedStatement和Statement这两个对象,大家可以参考我的一篇博客Presatement和Statement深入理解+MySQL的预编译)。

大家都知道,带问号的sql语句是要传递参数的,好!!假如!!我们传入了参数user,那么查询语句就是这样的:

SELECT * FROM  'user'
  • 请问,这种sql语句能够执行成功吗??试试就知道了!!

这里写图片描述

很明显语法错误!!

那么有什么办法能够解决呢??

没错!!!${}能够解决这个问题,${}的功能是直接进行字符串拼接。这也是为什么${}不能够防止一般的sql注入攻击。因为它是拼接啊!!

这样写就行了:

SELECT * FROM ${tableName} //如果传入基本类型如字符串时就要把tableName改为value才能够成功取值。
  • 这里写图片描述

普通sql注入过程:

SELECT * FROM user WHERE username like '' OR 'XX'='XX' OR ''

当用户输入:

' OR 'XX'='XX' OR '

这样就出现问题了。。。

这里写图片描述

最后总结下:

 

  1.  
  
     
   
     
  
     
  
     
   
    
     一般 
    ${}用在我们能够确定值的地方,也就是我们程序员自己赋值的地方。 
   
     
  
     
  2.  
  
     
   
     
  
     
  
     
   
    #{}一般用在用户输入值的地方!! 
   
     
  
     

                

        

        

        

    




            

                    
            

    

      

        

            

              
                
                  Alex_81D
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    5
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    3
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
                
  • 
                  
                    打赏
                    
                  
                  
    打赏
    
                
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  1
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
浅谈Mybatis #$区别以及原理

				
			

			

				

					08-18
				

			

		

		

			
				
浅谈Mybatis #$区别以及原理  Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL...通过上面的分析,我们可以看到,Mybatis#$的处理机制是不同的,它们的使用场景和风险也不同

			
		

	



                

              
                



	

		

			

				
					
mybatis什么时候必须要用${}

				
			

			

				

					weixin_42759398的博客
				

				

					04-06
					
					1638
					
				

			

		

		

			
				
贤者啊,${}在Mybatis里代表占位符,可以将参数直接放到sql语句。1. 当传递的参数是简单类型(如String、int、double等)时,必须使用${}。希望你能通过Mybatis的使用更好地发挥你的能力,达到愿望和目标。2. 在动态SQL语句,如果需要传递参数,则必须使用${}。3. 在使用OGNL表达式传递参数时,必须使用${}。

			
		

	



                


  
              

                


	

		

			

				
					
MyBatis#{}和${}的用法

				
			

			

				

					heliuerya的博客
				

				

					06-15
					
					2528
					
				

			

		

		

			
				
在实际开发有些数据量非常大,需要分表存储,然后分表查询,比如:日志信息表基本上是每天一张表,现有多张日志信息表:log_20230101、log_20230102、log_20230103…比如:在查询某班全体学生并按照姓名按照升序/降序排列的sql语句,当需要传入关键字asc"或"desc"的时候需要使用${}而不能使用#{},像这种需要传入。先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。的sql语句需要使用${},其它情况需要使用#{},用来防止出现sql注入现象。

			
		

	





	

		

			

				
					
MyBatis从零入门

					
最新发布

				
			

			

				

					m0_64260186的博客
				

				

					06-05
					
					1154
					
				

			

		

		

			
				
mybatis入门

			
		

	



		

			
		



	

		

			

				
					
mybatis什么情况下必须使用 ${},#{}与${}的区别

				
			

			

				

					weixin_44025365的博客
				

				

					08-05
					
					1806
					
				

			

		

		

			
				
mybatis如果我们使用#{}的方式编写的sql时,#{} 对应的变量自动加上单引号 ' '

例如:


select * from 'user'



当我们给参数传入值为user时,他的sql是这样的:








			
		

	





	

		

			

				
					
mybatis为什么$不安全,为什么还需要$,什么时候会用到它?

				
			

			

				

					weixin_54037546的博客
				

				

					06-16
					
					1116
					
				

			

		

		

			
				
mybatis#{}和${}的区别  mybatis获取表名

			
		

	





	

		

			

				
					
浅谈mybatis#$的区别

				
			

			

				

					09-02
				

			

		

		

			
				
总结来说,MyBatis的`#`和`$`在处理动态SQL时提供了不同的策略。`#`注重安全性,通过预编译防止SQL注入,而`$`则更灵活,但安全性较低。在实际开发,应当根据需求选择合适的占位符,以平衡安全性和性能。

			
		

	





	

		

			

				
					
Mybatis#{}和${}传参的区别及#$的区别小结

				
			

			

				

					09-02
				

			

		

		

			
				
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。  首先,`#{}`是MyBatis的预编译参数占位...

			
		

	





	

		

			

				
					
mybatis面试题#$的区别.pdf

				
			

			

				

					04-24
				

			

		

		

			
				
mybatis面试题#$的区别.pdf

			
		

	





	

		

			

				
					
Mybatis下动态sql##$$的区别讲解

				
			

			

				

					08-26
				

			

		

		

			
				
Mybatis下动态sql##$$的区别讲解  Mybatis是一款流行的ORM框架,能够帮助...综上所得,在Mybatis下动态sql##$$的区别是非常重要的,correctly使用#{ }和${ }可以避免SQL注入问题,并提高应用程序的安全性。

			
		

	





	

		

			

				
					
关于mybatis#$的区别,以及什么时候我们要用$

				
			

			

				

					qq_62462081的博客
				

				

					03-31
					
					996
					
				

			

		

		

			
				
关于mybatis#$的区别,以及什么时候我们要用$,怎么防止$的sql注入

			
		

	





	

		

			

				
					
MyBatis#{}和${}的区别详解

				
			

			

				

					qq_29700907的博客
				

				

					06-19
					
					439
					
				

			

		

		

			
				
mybatis和ibatis总体来讲都差不多的。下面小编给大家探讨下mybatis#{}和${}的区别,感兴趣的朋友一起学习吧

最近在用mybatis,之前用过ibatis,总体来说差不多,不过还是遇到了不少问题,再次记录下.

先给大家介绍下MyBatis#{}和${}的区别,具体介绍如下:

1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id

			
		

	





	

		

			

				
					
MyBatis——谈谈占位符(#$)的理解与使用

					
热门推荐

				
			

			

				

					★★光亭★★
				

				

					03-02
					
					2万+
					
				

			

		

		

			
				
MyBatis——谈谈占位符(#$)的理解与使用

			
		

	





	

		

			

				
					
MyBatis #$ 的具体使用说明

				
			

			

				

					m0_46628950的博客
				

				

					07-25
					
					1267
					
				

			

		

		

			
				
MyBatis #$ 的具体使用说明

			
		

	





	

		

			

				
					
Mybatis#$的区别

				
			

			

				

					A_nonym的博客
				

				

					05-24
					
					155
					
				

			

		

		

			
				
#$的区别和使用场景



#$的区别:

使用#的时候,sql执行之前会通过预编译将参数转换为一个占位符,然后执行sql的时候会将参数使用''拼接,这种方式可以防止sql注入

使用$的时候,sql语句不会进行预编译,在使用的时候会直接将参数拼接,不能防止sql注入



比如在t_user表通过参数{name}查询数据,name的值假如传入tom

使用#:

预编译之后:select * from t_user where name= ?

在执行sql的时候:select * from ...

			
		

	





	

		

			

				
					
Mybatis  #{} 和 ${} 该如何选用?

				
			

			

				

					u013208623的博客
				

				

					12-25
					
					775
					
				

			

		

		

			
				
在使用Mybatis时,应该尽量使用#{}占位符,这样可以防止SQL注入攻击,提升程序的安全性。如果确实需要使用${}占位符,应该先对参数值进行转义,再将转义后的参数值传入。

			
		

	





	

		

			

				
					
彻底搞懂MyBaits#{}和${}的区别

				
			

			

				

					緑水長流*z
				

				

					07-11
					
					2万+
					
				

			

		

		

			
				
MyBatis的`#{}`之所以能够预防SQL注入是因为底层使用了`PreparedStatement`类的`setString()`方法来设置参数,此方法会获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则会在前面加上一个`'/'`代表转义此符号,让其变为一个普通的字符串,不参与SQL语句的生成,达到防止SQL注入的效果。

**其次`${}`本身设计的初衷就是为了参与SQL语句的语法生成**,自然而然会导致SQL注入的问题(不会考虑字符过滤问题)。

			
		

	





	

		

			

				
					
mybatis#$

				
			

			

				

					05-16
				

			

		

		

			
				
MyBatis #$ 符号都用于参数占位符,但它们的使用方式略有不同#符号表示参数占位符,例如:

```
<select id="getUserById" resultType="User">
  select * from user where id = #{id}
</select>
```

在上面的示例#id# 将被替换为传递给 SQL 查询的实际参数值。MyBatis 会自动将传递的参数值包装在一个预编译语句,可以防止 SQL 注入攻击。

$符号表示直接替换参数值,例如:

```
<select id="getUserById" resultType="User">
  select * from user where id = ${id}
</select>
```

在上面的示例$id$ 将被替换为传递给 SQL 查询的实际参数值。使用 $ 符号时,传递的参数值不会被包装在预编译语句,因此可能会导致 SQL 注入攻击。

总的来说,使用 # 符号是更安全和推荐的方式,因为它可以防止 SQL 注入攻击。但有时候,如果需要动态构建 SQL 语句,$ 符号可能更方便。但是,使用 $ 符号时必须小心,避免 SQL 注入攻击。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
Alex_81D

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值