(九)Mybatis的#{}占位符和${}拼接符的区别

最新推荐文章于 2024-04-25 15:41:10 发布
最新推荐文章于 2024-04-25 15:41:10 发布
阅读量5.1k 收藏 22
点赞数 10
分类专栏: Mybatis 文章标签: Mybatis 占位符 #{} ${}
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Aphysia/article/details/80814626
版权

注:代码已托管在GitHub上,地址是:https://github.com/Damaer/Mybatis-Learning,项目是mybatis-05-CURD,需要自取,需要配置maven环境以及mysql环境,觉得有用可以点个小星星,小菜鸟在此Thanks~

1.#{}占位符

1.#{}占位符可以用来设置参数,如果传进来的是基本类型,也就是(string,long,double,int,boolean,float等),那么#{}里面的变量名可以随意写,什么abc,xxx等等,这个名字和传进来的参数名可以不一致。

2.如果传进来的是pojo类型,那么#{}中的变量名必须是pojo的属性名,可以写成属性名,也可以写属性名.属性名

参数是int,不需要设置parameterType:

<delete id="deleteStudentById" >
    delete from student where id=#{XXXdoukeyi}
</delete>

parameterType是pojo类,如果使用pojo类型作为参数,那么必须提供get方法,也就是框架在运行的时候需要通过反射根据#{}中的名字,拿到这个值放到sql语句中,如果占位符中的名称和属性不一致,那么报ReflectionException。

<insert id="insertStudent" parameterType="Student">
	insert into student(name,age,score) values(#{name},#{age},#{score})
</insert>

3.注意:#{}占位符不能解决三类问题

动态表名不可以用#{} :Select * from #{table}
动态列名不可以用#{} : select #{column} from table
动态排序列不可以用#{} : select * from table order by #{column}

注意:不能这样写:

<insert id="insertStudent" parameterType="Student">
	insert into student(name,age,score) values(#{Student.name},#{Student.age},#{Student.score})
</insert>

否则会报一个错误(会将Student当成一个属性),所以我们类名就直接省略不写就可以了:

### Cause: org.apache.ibatis.reflection.ReflectionException: There is no getter for property named 'Student' in 'class bean.Student'
2.${}拼接符

1.如果传进来的是基本类型,也就是(string,long,double,int,boolean,float等),那么#{}里面的变量名必须写value。

<delete id="deleteStudentById" >
    delete from student where id=${value}
</delete>

2.如果传进来的是pojo类型,那么#{}中的变量名必须是pojo的属性名,可以写成属性名,也可以写属性名.属性名但是由于是拼接的方式,对于字符串我们需要自己加引号

<insert id="insertStudent" parameterType="Student">
	insert into student(name,age,score) values('${name}',${age},${score})
</insert>

与上面一样,不能将类名写进来:

<!--这是错误的-->
<insert id="insertStudent" parameterType="Student">
	insert into student(name,age,score) values('${Student.name}',${Student.age},${Student.score})
</insert>

3.${}占位符是字符串连接符,可以用来动态设置表名,列名,排序名

动态表名 :Select * from ${table}
动态列名 : select ${column} from table
动态排序 : select * from table order by c o l u m n 4. {column} 4. column4.{}可以作为连接符使用,但是这样的方式是不安全的,很容易发生sql注入问题,sql注入问题可以参考https://blog.csdn.net/aphysia/article/details/80465600

<select id="selectStudentsByName" resultType="Student">
    select id,name,age,score from student where name like '%${value}%'
</select>
3.#{}与${}区别
  • 能使用#{}的时候尽量使用#{},不使用${}
  • #{}相当于jdbc中的preparedstatement(预编译),${}是直接使用里面的值进行拼接,如果解释预编译和直接拼接,我想可以这么理解预编译:比如将一个#{name}传进来,预编译是先将sql语句编译成为模板,也就是我知道你要干什么,假设这个sql是要查询名字为xxx的学生信息,那无论这个xxx里面是什么信息,我都只会去根据名字这一列查询,里面无论写的是什么,都只会当做一个字符串,这个类型在预编译的时候已经定义好了。
  • ${}就不一样,是将语句拼接之后才确定查询条件/类型的,那么就会有被注入的可能性,有些人故意将名字设置为删除条件,这时候sql就变成删除操作了。
  • 所以我们一般类似模糊查询都是用#{}拼接
<select id="selectStudentsByName" resultType="Student">
    select id,name,age,score from student where name like '%' #{name} '%'
</select>
  • 但是对于order by 我们是用不了#{}的,因为用了这个就会被自动转换成字符串,自动加引号,这样语句就不生效了。
<select id="selectStudentsByName" resultType="Student">
    select id,name,age,score from student order by #{column}
</select>
<!--编译出来的结果如下:-->
select * from table order by 'column'

那我们需要怎么处理呢?我们只能使用${},MyBatis不会修改或转义字符串。这样是不安全的,会导致潜在的SQL注入攻击,我们需要自己限制,不允许用户输入这些字段,或者通常自行转义并检查。所以这必须过滤输入的内容。

此文章仅代表自己(本菜鸟)学习积累记录,或者学习笔记,如有侵权,请联系作者删除。人无完人,文章也一样,文笔稚嫩,在下不才,勿喷,如果有错误之处,还望指出,感激不尽~

技术之路不在一时,山高水长,纵使缓慢,驰而不息。

公众号:秦怀杂货店

秦怀
关注
  • 10
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
MyBatis中#{}和${}的区别详解
09-01
MyBatis框架中,`#{}`和`${}`是两种不同的占位符,它们各自有不同的用途和特性。了解它们的区别对于编写安全、高效的SQL语句至关重要。 首先,`#{}`是预编译参数的表示方式,它会被MyBatis转化为...
浅谈mybatis中的#和$的区别 以及防止sql注入的方法
09-01
MyBatis中,`#`和`$`在动态SQL中的使用有着明显的区别,它们在处理传入数据的方式上有所不同,同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
MyBatis】关于 MyBatis占位符 # 和 $ 说明
aaa_hao的博客
08-28 3345
# :占位符,告诉 mybatis 使用实际的参数值代替。并使用 PrepareStatement 对象执行 sql 语句, #{…}代替 sql 语句的 “?”。这样做更安全,更迅速,通常也是首选做法 mapper 文件 : <select id="selectById" resultType="com.kaho.domain.Student"> select id,name,email,age from student where id=#{studentId} </selec
mybatis中select语句的模糊查询--${}与#{}
Luke_R的博客
11-09 4006
${}: 相当于statement,直接拼sql语句 如果parameterType是基本数据类型和String,是不会将{}里面的字串当做parameterType的属性来解析,如果parameterType是HashMap或者自定义类型,就会将{}里面的字串当成parameterType的属性来解析 #{}: 相当于preparestatement,相当于占位符?
mybatis - 取值号:# 和 $的区别
最新发布
pig_ning的博客
04-25 333
mybatis - 取值号:# 和 $的区别
mybatis的#{}占位符和${}拼接
Meiko记录
01-14 2629
#{}占位符:占位 使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句中如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且在使用#{}时形成的sql语句,已经带有引号,例,select * from table1 where id=#{id} 在调用这个语句时我们可以通过后台看到打印出的sql为:select * from table1 where id=‘2’ 加入传的值为2.也就是说在组成sql语句的时候把参数默认为字串。
html select 占位符,如何为“选择框”制作占位符
weixin_39809793的博客
06-03 824
刚刚偶然发现了这个问题,以下是Firefox&Chrome的工作原理(至少)select:invalid { color: gray; }Please Choose...Open when powered (most valves do this)Closed when powered, auto-opens when power is cut禁用选项将停止同时使用鼠标和键盘进行选择,而只...
MyBatis 中 #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1188
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS中 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
浅谈Mybatis #和$区别以及原理
08-18
Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别Mybatis中,#和$都是占位符,但是它们...
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
MyBatis中#号与美元号的区别
08-31
MyBatis框架中,#号和美元号($)在动态SQL中的使用有着显著的区别,这些差异直接影响到SQL语句的预编译、类型匹配以及安全性。 首先,#{}是MyBatis的预编译占位符。当使用#{变量名}时,MyBatis会进行预编译处理...
mybatis3中@SelectProvider等使用技巧
水逆呱的博客
03-18 1019
mybatis的原身是ibatis,现在已经脱离了apache基金会,新官网是http://www.mybatis.org/。 mybatis3中增加了使用注解来配置Mapper的新特性,本篇文章主要介绍其中几个@Provider的使用方式,他们是:@SelectProvider、@UpdateProvider、@InsertProvider和@DeleteProvider。(无参数直接用@Se...
Mybatis占位符拼接
weixin_30270561的博客
07-29 272
1.占位符 1.1 含义: 在持久化框架中,为了将约束条件中的可变参数从sql中分离出来,在原有的参数位置使用特殊的标记来标记该位置,后期通过代码给sql传递参数(即实现sql与代码分离开)。这个特殊的标记被称为占位符。 1.2 优点: 1.2.1 防止sql注入,提高了安全性 1.2.2 对于只有参数不同的sql语句,...
MyBatis 动态 SQL trim 的应用,可以添加或删除前缀或后缀
无知人生,记录点滴
07-10 2356
MyBatis 动态 SQL trim 的应用,可以添加或删除前缀或后缀。比如:你的查询需求是有一部分字段条件是 and 关系,而有一部分字段是 or 关系,例如:Select * from tableName where a=1 and b=2 and c=3 and( d like '%a%' or e like '%b%' )那么 Where 的部分可以使用 Where 的功能,这样...
Mybatis学习笔记】占位符解析#{} ${}
Rcary的博客
04-23 879
获取参数#{} ${} #{ }、${ } #{ } 可以解决Sql注入问题 实质:占位符赋值 ${ } 不能解决Sql注入问题 实质:字符串拼接 ( 需要单引号括起来) <select id="selectAll" resultType="User"> select * from user where userId = #{userId}; </select> <select id="selectAll" resultType="User"> se
MyBatis 中#{} 和 ${}区别
wodengniyujiul的博客
03-18 778
#{} 和 ${}区别
Mybatis拼接参数和字
JonyM的博客
08-25 2885
concat(#{param},’,’)
MyBatis之动态Sql拼接
.
01-31 3125
MyBatis之动态Sql拼接 前言 Mybatis 的映射⽂件中,前⾯我们的 SQL 都是⽐较简单的,有些时候业务逻辑复杂时,我们的 SQL是 动态变化的,在MyBatis之前对于一些复杂的 SQL 对于我们业务开发时候是不支持的,有时候需要我们为了一两个参数从而去编写重复的sql语句,对此,MyBatis提供了动态Sql去根据不同的条件动态的生成sql语句,极大了对复杂业务查询提供了便利性。 例 对此我们可以根据不同的取值,使用不同的Sql去查询。 业务查询实时可以根据id,或者name的传入而决定去查
Lua中的select("#", ...)
W_han__的博客
10-24 3713
--simple and rough version, be careful function common:table_merge(...) local tb = {} for i = 1, select("#", ...) do table.foreach((select(i, ...)), function(k, v) tb[k] = v end) end return
mybatis #{} 和 ${} 的区别
09-22
Mybatis中的#{}和${}是用于动态SQL的两种不同的占位符语法。 1. #{}:这是Mybatis中的预编译语法,表示将参数值作为一个占位符来使用。使用#{}可以避免SQL注入的风险。在SQL被预编译之后,#{}中的参数值会通过JDBC...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值