Mybatis的#{}与${}占位符

最新推荐文章于 2023-07-19 08:31:43 发布
最新推荐文章于 2023-07-19 08:31:43 发布
阅读量144 收藏
点赞数
文章标签: mybatis java sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Alone_77x/article/details/127134993
版权

在使用Mybatis配置SQL语句时,SQL语句中的参数可以使用#{}格式的占位符,例如:

<!-- AlbumStandardVO getStandardById(Long id); -->
<select id="getStandardById" resultMap="StandardResultMap">
    SELECT
        <include refid="StandardQueryFields"/>
    FROM
        pms_album
    WHERE
        id=#{id}
</select>

其实,还可以使用${}占位符!

以上配置,使用#{}${}格式的占位符均可正常通过测试!

另外,再使用一段代码进行测试:

<!-- int countByName(String name); -->
<select id="countByName" resultType="int">
    SELECT count(*) FROM pms_album WHERE name=#{name}
</select>

 以上代码,使用#{}格式的占位符可以正常通过测试,但是,使用${}格式的占位符则会出现错误:

Cause: java.sql.SQLSyntaxErrorException:
 Unknown column '小米13的相册' in 'where clause'
; bad SQL grammar []; nested exception is java.sql.SQLSyntaxErrorException:
 Unknown column '小米13的相册' in 'where clause'

 

通过错误信息,可以看到,SQL语句中将测试参数 小米13的相册 作为了列名(字段名)!

其实,在SQL语句中,除了关键词、数值、运算符、函数名等非常固定的内容以外,所有内容都会被视为某个名字,例如:表名、字段名或其它自定义的名称(例如索引名等),比较典型的应用,例如:

update bank_account set money = money + 1000 where id = 1;

以上SQL语句的意思大致是:将id=1的账户的余额在现有基础之上增加1000。

可以看到,在以上set money = money + 1000部分的代码片段中,等于号右侧的 money 会被视为“字段名”!

为了避免MySQL把 小米13的相册 视为字段名,必须在 小米13的相册 的两侧添加一对单引号,例如:

SELECT count(*) FROM pms_album WHERE name='${name}'

 所以,在SQL语句中,只有将值使用一对双引号框住(数值除外),才会被认为是“值”

 

在MySQL处理SQL语句时,会经过词法分析、语义分析,然后再执行编译,最终执行

在Mybatis中,使用#{}格式的占位符,在底层实现时,会使用预编译(在编译时与参数值无关)的处理机制,值将会在执行时再代入!由于采用了预编译的做法,所有值都不用考虑数据类型的问题,例如,不需要给字符串类型的值添加一对单引号,并且,预编译是安全的,不会出现SQL注入问题!这种做法中,#{}占位符只能表示SQL语句中的某个值,而不能表示其它内容!

使用${}格式的占位符,在底层实现时,会先将值拼接到原SQL语句中,然后再执行编译的相关流程!由于不是预编译的,字符串、日期等类型的值需要添加一对单引号,否则,将被视为字段名、运算表达式等,由于是先代入值再执行编译相关流程,所以,代入的值是可以改变语义的,是存在SQL注入风险的!这种做法中,${}占位符可以表示SQL语句中的任何片段,只需要保证拼接起来后可以通过编译即可!

 

Alone_77x
关注
mybatis的#和$使用和区别】
学无止境
02-27 939
mybatis的#和$使用和区别】
MyBatis中的${}和#{}
小景的博客
06-28 618
${}、#{}的使用举例: 后端Controller @RequestMapping(value = "/getStatisticsData", method = RequestMethod.GET, produces = "application/json;charset=utf8") public List<SearchResult> getStatisticsData(Long startTime, Long endTime, String argu) { Lis...
MyBatis#{}和${}的区别
weixin_43763697的博客
09-26 338
SQL语句中,除了关键词、数值、运算符、函数名等非常固定的内容以外,所有内容都会被视为某个名字,例如:表名、字段名或其它自定义的名称(例如索引名等)
mybatis的计算${}
brantykl的博客
02-19 1526
1.使用mybatis计算可以使用${} <select id="findBookByPage" parameterType="PageInfo" resultType="GoodInfo"> select a.book_id,a.book_name,a.book_price,a.book_author,a.status,a.is_new,a.is_hot,a.store_count,b.type_name from tb_book a,tb_type b
MyBatis占位符#{}与${}的区别
pan_nworld的博客
07-09 472
MyBatis占位符#{}与${}的区别 1、#{}占位符 语法: #{字符} Mybatis处理#{} 使用jdbc 中的PrepareStatement对象 例: mapper文件: <select id="selectById" parameterType="int" resultType="com.bjpowernode.domain.Student"> select id,name,email,age from student whe
MyBatis的#{}占位符和${}拼接符的区别
努力努力再努力m
06-13 1659
# 对传入的参数视为字符串,会首先对sql语句进行预编译 举个栗子: select * from user where id = #{id},传入id值为5 那么传过来的SQL语句就是 select * from user where name = ‘5’; 2、将不会将传入的值进行预编译,select∗fromuserwherename=将不会将传入的值进行预编译,select * from ...
浅谈Mybatis #和$区别以及原理
08-18
Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在Mybatis中,#和$都是占位符,但是它们...
MyBatis之【#{}、${}占位符
weixin_48485216的博客
05-10 305
#{} 1、传参大部分使用#{}传参,它的底层使用的是PreparedStatement对象,是安全的数据库访问,可以防止sql注入。 2、#{}中如何写,看parameterType的参数类型 (1)如果parameterType的类型是简单类型(8种基本(封装)+ String),则#{}中随便写 (2)如果parameterType的类型是实体类的类型,则#{}中只能是类中成员变量的名称,而且区分大小写 ${} 1、字符串拼接 (1)一般用于模糊查询,建议少用,因为有sql注入的风险
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
MyBatis--------占位符${}与#{}
大宇的博客,欢迎访问
04-06 608
一、基本区别 简单的说就是#{}传过来的参数带单引号'',而${}传过来的参数不带单引号。 涉及到这个问题,最初是在毕业设计项目中,进行动态排序发现的问题。看下面的SQL语句 <select id="getArticleByCondition" resultType="com.ssi.domains.article.entity.Article"&gt...
mybatis的${}和#{}
weixin_43887958的博客
03-23 155
${} ${}在组装sql前将里面的表达式计算出来,举例子: select * from t_user where count=${list.size} 在创建preparedStatement前就将${list.size}计算出来了,假设计算值为10,则会将sql = "select * from t_user where count=10" 放入preparedStatement对象中. #{} ${}在组装sql后将里面的表达式计算出来,举例子: select * from t_user wh
MyBatis——谈谈占位符(#、$)的理解与使用
热门推荐
★★光亭★★
03-02 3万+
MyBatis——谈谈占位符(#、$)的理解与使用
位运算符、static、finally、值传递引用传递、Mybatis中#{}与${}
Lucky_Qxk的博客
03-03 633
&、|、&&、|| &、|即使逻辑运算符又是位运算符,而&&、||只是逻辑运算符 &&、||只是逻辑运算符,两边只能是bool类型 &、|即使逻辑运算符又是位运算符,两边既可以是bool类型,也可以是数值类型 &、|不会短路。即:即使&、|前面的表达式结果已经决定了整个表达式的的结果,但是仍然会计算&、|后面的表达式结果 &&、||会产生短路 位运算符的运算规则(与&、或|、非^
mybatis中#{}与${}的使用
AICatsayer的博客
11-18 256
话不多说,直接上代码。 数据库信息: #{} xml文件中的SQL语句: <select id="findByLike" resultType="com.baidu.pojo.TUser" parameterType="string"> select * from t_usertest where name like #{name} </sele...
一文解惑mybatis中的#{}和${}
最新发布
一个菜鸡的博客
07-19 5849
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
Mybatis下动态sql中##和$$的区别讲解
08-26
一个#{ }被解析为一个参数占位符?。而${ }仅仅为一个纯碎的string替换,在动态SQL解析阶段将会进行变量替换。例如,Mapper.xml中如下的SQL: select * from user where name = ${name}; 当我们传递的参数为"Jack...
Mybatis-占位符#{}和${}的使用说明
m0_37965811的博客
05-31 2446
1、占位符 #{}是占位符,${}是拼接符。 #{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”. ${}将传入的数据直接显示生成在sql中。如:order by ${user_id},如果传入的值是111,那么解析成sql时的值为order by 111, 如果传入的值是id,则解析成的sql为orde
Mybatis中#{ }与${ }使用总结
soulfire的博客
07-11 764
#{ }与${ }的区别 1、#{ }将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。 如: delete from user where name= #{name} 实际相当于一个占位符: delete from user where name= ? 如果传入的值是123,那么解析成sql时的值为 delete from user where name= 123, 如...
mybatis入参运算
打不死的小强lee的博客
03-04 2015
mybatis想要实现入参运算,有以下两种方式 1、${} 如: select * from table1 limit ${start}+1,#{pageSize} 2、bind 如: <bind name="start" value="start+1"/> select * from table1 limit #{start},#{pageSize} 注意:#{}不能运算,因为#{}是预编译 ...
mybatis中${}与#{}的区别
osliveandroide的博客
06-20 319
今天在项目中使用easyui传递排序字段进行排序,但是一直无法成功,数据依然是未排序的结果。 if (sort != null && order != null) { String[] sorts = sort.split(","); String[] orders = order.split(","); String orderbys = ""; for (int
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值