myabtis 数字+逗号 传参问题 $和#

最新推荐文章于 2023-11-14 21:09:08 发布
最新推荐文章于 2023-11-14 21:09:08 发布
阅读量909 收藏
点赞数 1
分类专栏: mybatis 文章标签: mybatis传参 #和$ mybatis数字逗号
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Angry_Mills/article/details/84799789
版权

大家好,我是烤鸭:


    遇到一个maybatis传参的问题。
    如果传参是数字+逗号的形式,比如1,2,3,4,5。

 

问题复现:

项目中查询sql和navicat查询sql结果不一致。

1    项目中:

如图所示,查到一条数据。

可以看到上面设置进去的参数是String类型的,也就是 IN ('1,2,3,4,5')。很显然,这不是我们想要的。

2.    navicat中:

同样的sql复制到navicat里,是5条。

 

3.     查找原因:

为什么会有这个问题呢。 为了找问题,将传入的参数写死是没有问题的。

问题在于#符号,#是先生成sql,后采用占位符的方式,将参数放进去。

4.    解决方式:

知道问题就比较好改了,将#换成$就可以了。

$是在sql生成时,把参数传入sql中。#是在sql后,将参数生成到占位符上。
这篇文章从源码角度说了两者的区别。

http://www.importnew.com/25791.html

$的第二种写法,更麻烦了,没必要:

<select id="selectByFlowIds" resultType="PreAuthorizeHnydExpendFlow">
    SELECT
    <include refid="preAuthorizeHnydExpendFlowColumns"/>
    FROM pre_authorize_hnyd_expend_flow a
    WHERE 1 = 1
    AND FIND_IN_SET(a.expend_id, #{flowIds})
    <if test="flowIds != null and flowIds!= ''">
        AND a.expend_id IN
        <foreach collection="flowIds.split(',')" item="flowId" index="index" open="(" close=")" separator=",">
        '#{flowId}'
        </foreach>
    </if>
</select>

但是我们都知道$会有sql注入的风险,用#改写这个,采用mysql的FIND_IN_SET函数。

<select id="selectByFlowIds" resultType="PreAuthorizeHnydExpendFlow">
    SELECT
    <include refid="preAuthorizeHnydExpendFlowColumns"/>
    FROM pre_authorize_hnyd_expend_flow a
    WHERE 1 = 1
    AND FIND_IN_SET(a.expend_id, #{flowIds})
</select>

总结一下:

来源: 

https://www.cnblogs.com/friends-wf/p/4227999.html

mybatis中的#和$的区别

#相当于对数据 加上 双引号,$相当于直接显示数据

1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".
  
2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为order by user_id,  如果传入的值是id,则解析成的sql为order by id.
  
3. #方式能够很大程度防止sql注入。
  
4.$方式无法防止Sql注入。

5.$方式一般用于传入数据库对象,例如传入表名.
  
6.一般能用#的就别用$.

MyBatis排序时使用order by 动态参数时需要注意,用$而不是#

字符串替换
默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用:
ORDER BY ${columnName}
这里MyBatis不会修改或转义字符串。

重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。

烤鸭的世界我们不懂
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Mybatis- 被逗号分割的字符串
daxiong0816的博客
04-10 2109
1. String ids = "1,2,3,4,5,6",如ids作为递,查询list返回。mybatis用foreach处理并返回。 SELECT * FROM yp_popup_store_info store WHERE store.store_id in &lt...
mybatis${}、#{}和String字符串的记录
Amelia_Liu的博客
07-07 738
1、${}和#{} 1、首先两者都是用来取的,区别之处在于${}会把入的数直接显示,而#{}会把入的数加双引号当字符串处理 2、${}会有SQL注入的问题#{}因为是预编译所以能够很大程度防止sql注入。 3、能用#{}就不用${}(分情况)。 2、String字符串 今天在测试一个东西的时候发现一个之前一直没有注意到的小细节,mybatis入字符串数时,使用${}取值会...
mybatis入带逗号
weixin_43031121的博客
03-07 247
mybatis入带逗号
Mybatis逗号分隔的字符串情形进行in条件查询
cxqiuWind的博客
08-01 4172
在业务变更需支持多条件查询,在改动最小的情况下,实现方式就是只改mapper.xml,这时,可让前端逗号分隔,后端只需要做如下调整: <if test="paramXXX!= null and paramXXX!= ''"> and t.paramXXX in <foreach item="item" index="index" collection="paramXXX.split(',')" open="(" separator="," close=")">
Mybatis保存时数携带了逗号和空格导致SQL保存异常
最新发布
weixin_51722520的博客
11-14 542
后端保存时,数据库不识别
js实现数字每三位加逗号的方法
10-24
主要介绍了js实现数字每三位加逗号的方法,以实例形式讲述了js实现数字每三位加逗号的技巧,具有一定考借鉴价值,需要的朋友可以考下
MySQL查询指定字段不是数字逗号的sql
09-08
在这个问题中,我们需要找出那些在指定字段中不包含数字逗号的记录。以下是关于这个主题的详细解释和示例。 首先,我们要理解`REGEXP`运算符的基本用法。`REGEXP`用于测试字符串是否符合特定的模式,如果符合,...
js下将金额数字每三位一逗号分隔
10-22
主要介绍了js下将金额数字每三位一逗号分隔的相关资料,还附加了一个小功能,小数位保留两位,感兴趣的小伙伴们可以考一下
js为数字添加逗号并格式化数字的代码
10-26
数字添加逗号的方法有很多,在本将为大家介绍下使用js来实现,具体如下,感兴趣的朋友可以考下,希望对大家有所帮助
正则替换实现输入框只能有数字、中英文逗号
10-22
最近在开发过程中,需要一个输入框里面只能有数字与中英文逗号,因为是相关文章,其它的也不让出现,容易造成问题,编程容易把介绍复制到里面,所以想到了这个方法
mysql 数据字典 逗号,mybatis向mysql插入含有逗号的值报错,mybatismysql
weixin_34530164的博客
03-17 1029
mybatis向mysql插入含有逗号的值报错,mybatismysqlmybatis向mysql插入形如“11,22,33”的时候报错。错误的原因是我用美元符号拼接的sql。正确做法是用# 有时间看看mybatis的$#的区别。mysql 用mybatis添加 报错 指点--> 检查 --> jdbc 是否导入 classpath?--> 另外, 可能是你的sql stat...
mybatis中逗号的集合时 报异常 invalid comparison: java.util.Arrays$ArrayList and java.lang.String
cyhlili100的博客
04-30 522
foreach的主要用在构建in条件中,它可以在SQL语句中进行迭代一个集合。 foreach元素的属性主要有item,index,collection,open,separator,close。 item表示集合中每一个元素进行迭代时的别名。 index指定一个名字,用于表示在迭代过程中,每次迭代到的位置。 open表示该语句以什么开始。 separator表示在每次进行迭代之间以什么符号作为分...
Mybatis 处理不识别数学符号
TM_enn的博客
04-21 240
Mybatis 处理不识别数学符号
mybatis注解动态sql在if标签中数用#{}匹配不到
qq_53221975的博客
10-03 1141
mybatis注解动态sql在if标签中数用#{}匹配不到
在mybatis中想直接使用逗号拼接好的字符串放入in中,不要使用#{},而要使用${}
NRGAGA的专栏
02-08 534
https://blog.csdn.net/qq_30505421/article/details/122439063https://blog.csdn.net/qq_30505421/article/details/122439063 // 接口 List<SysUser> findByIdList(List<Integer> idList); //xml <select id="findByIdList" resultMap="BaseResultMap">
java mybatis动态sql 字符串逗号分隔 转换成数组后 forEach进行拼接 mybatis多sql执行
shengguimin的博客
04-28 1735
个字符串过来,mybatis一样可以以某个字符进行分隔,把它转换成一个数组,然后再进行foreach循环。-- mybatis 动态sql,将入的字符串通过split拼接成in语句 -->,开启对多sql的支持-->
mybatis根据逗号拼接字符串 查询列数据为多个逗号拼接字符串 xml文件中
java_mygod的博客
07-06 4296
根据逗号拼接字符串查询 find_in_set的使用 在开发中遇到这样的数据库存储方式,字段的值都是逗号拼接的字符串,而我们需要根据递的数来判断该字段中是否有某个元素,如果有则列出此行数据: 考虑了性能的问题,首先考虑的是否可以再代码中处理这些业务,但显然不满足我们的需求;百思不得其解的情况下,使用了find_in_set函数,并且循环find_in_set查询是否包含某个值 以下为代码具...
mybatis使用错误记录
weixin_41841149的博客
05-19 241
mybatis使用错误记录 1 错误信息 mybatis foreach用法错误 <insert id="insertList" > insert into orders values <foreach collection="orders" item="o" > (null, #{o.gid}, #{o.create_time}, #{o.sale}) </foreach> </ins
正则表达式只允许输入英文数字逗号
08-17
对于您的需求,您可以使用以下正则表达式来匹配只允许输入英文、数字逗号的字符串: ```regex ^[a-zA-Z0-9,]+$ ``` 这个正则表达式的含义是: - `^` 表示匹配字符串的开始位置 - `[a-zA-Z0-9,]` 表示匹配任意一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

烤鸭的世界我们不懂

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值