占位符与连接符的使用方法与区别

最新推荐文章于 2022-07-24 23:09:14 发布
最新推荐文章于 2022-07-24 23:09:14 发布
阅读量1.1k 收藏
点赞数 1
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BBG_Clown/article/details/123681282
版权

目录

一、#{} 占位符:

1.

#{}占位符可以用来设置参数,如果传进来的是基本类型,也就是(string,long,double,int,boolean,float等),那么#{}里面的变量名可以随意写,什么abc,xxx等等,这个名字和传进来的参数名可以不一致。

2.

如果传进来的是pojo类型,那么#{}中的变量名必须是pojo的属性名,可以写成属性名,也可以写属性名.属性名。

3.

注意:#{}占位符不能解决三类问题

1)动态表名不可以用#{} :Select * from #{table} 

2)动态列名不可以用#{} : select #{column} from table 

3)动态排序列不可以用#{} : select * from table order by #{column}

二、 ${} 拼接符

1.

如果传进来的是基本类型,也就是(string,long,double,int,boolean,float等),那么#{}里面的变量名必须写value。

<delete id="deleteStudentById" >

    delete from student where id=${value}

</delete>

2.

如果传进来的是pojo类型,那么#{}中的变量名必须是pojo的属性名,可以写成属性名,也可以写属性名.属性名。但是由于是拼接的方式,对于字符串我们需要自己加引号

<insert id="insertStudent" parameterType="Student">

    insert into student(name,age,score) values('${name}',${age},${score})

</insert>

与上面一样,不能将类名写进来:

<!--这是错误的-->

<insert id="insertStudent" parameterType="Student">

    insert into student(name,age,score) values('${Student.name}',${Student.age},${Student.score})

</insert>

3.

${}占位符是字符串连接符,可以用来动态设置表名,列名,排序名

动态表名 :select * from table
动态列名:select {column} from table
动态排序 : select * from table order by ${column1} ${column2}
${}可以作为连接符使用,但是这样的方式是不安全的,很容易发生sql注入问题

<select id="selectStudentsByName" resultType="Student">

    select id,name,age,score from student where name like '%${value}%'

</select>

三、#{}与${}区别

能使用#{}的时候尽量使用#{},不使用${}

#{}相当于jdbc中的preparedstatement(预编译),${}是直接使用里面的值进行拼接。
如果解释预编译和直接拼接,我想可以这么理解预编译:比如将一个#{name}传进来,预编译是先将sql语句编译成为模板,也就是我知道你要干什么,假设这个sql是要查询名字为xxx的学生信息,那无论这个xxx里面是什么信息,我都只会去根据名字这一列查询,里面无论写的是什么,都只会当做一个字符串,这个类型在预编译的时候已经定义好了。

${}就不一样,是将语句拼接之后才确定查询条件/类型的,那么就会有被注入的可能性,有些人故意将名字设置为删除条件,这时候sql就变成删除操作了。

所以我们一般类似模糊查询都是用#{}拼接

<select id="selectStudentsByName" resultType="Student">

    select id,name,age,score from student where name like '%' #{name} '%'

</select>

但是对于order by 我们是用不了#{}的,因为用了这个就会被自动转换成字符串,自动加引号,这样语句就不生效了。

<select id="selectStudentsByName" resultType="Student">

    select id,name,age,score from student order by #{column}

</select>

<!--编译出来的结果如下:-->

select * from table order by 'column'

那我们需要怎么处理呢?

我们只能使用${},MyBatis不会修改或转义字符串。这样是不安全的,会导致潜在的SQL注入攻击,我们需要自己限制,不允许用户输入这些字段,或者通常自行转义并检查。所以这必须过滤输入的内容。

BBG_Clown
关注
mybatis拼接占位符区别
Vectory0213的博客
08-06 1635
占位符: 1.#{}占位符可以用来设置参数,如果传进来的是基本类型,也就是(string,long,double,int,boolean,float等),那么#{}里面的变量名可以随意写,什么abc,xxx等等,这个名字和传进来的参数名可以不一致。 2.如果传进来的是pojo类型,那么#{}中的变量名必须是pojo的属性名,可以写成属性名,也可以写属性名.属性名。 拼接: 3.注意:#{...
占位符拼接区别——2017.08.16
weixin_30709809的博客
08-16 277
  占位符:先占住一个固定的位置,等着你往里面添加内部的号。在MyBatis中:"#{ }"表示占位符,1 对于基本类型类型变量,#{ }中变量名称可以随意填写 2 如果传入的是POJO类型变量,传入的必须是POJO对象的属性 拼接:${ }字串原样拼接,1 如果传入的是基本类型变量,${ }中必须填入value值 2 如果传入的是POJO类...
mybatis的#{}占位符和${}拼接区别
qq_32534441的博客
01-25 702
mybatis做为一个轻量级ORM框架在许多项目中使用,因其简单的入门受到了广大开发者的热爱。 #{}占位符:占位 使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句中如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且在使用#{}时形成的sql语句,已经带有引号,例,select * from table1 where ...
mybatis中的#占位符和$拼接区别
qq_45603855的博客
08-10 891
mybatis中的#占位符和$拼接区别一、sql注入1、什么是sql注入2、sql注入示例二、#占位符和$拼接区别三、mybatis如何防止sql注入四、总结   为更好地解释mybatis中的#占位符和$拼接区别,这里对sql注入做一个简单说明。 一、sql注入 1、什么是sql注入   SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 2、sql注入示例   首先定义一个sql字串,来
MyBatis#{}占位符和${}拼接区别
泗水六年的博客
07-24 113
传入的参数在SQL中显示为字串,#方式能够很大程度防止sql注入;$传入的参数在SqL中直接显示为传入的值,$方式无法防止Sql注入。
.properties文件读取及占位符${...}替换源码解析
08-30
.properties文件读取及占位符${...}替换是Java开发中常用的技术,通过使用.properties文件来存储配置信息,并使用占位符${...}来替换这些配置信息。下面将详细介绍.properties文件读取及占位符${...}替换的原理和...
Spring实战之属性占位符配置器用法示例
08-25
在配置文件中,我们使用了jdbc.driverClassName、jdbc.url、jdbc.username、jdbc.password等占位符,表示数据库连接信息。这些占位符将被PropertyPlaceholderConfigurer读取并设置为Spring配置文件的数据。 ```...
Spring实战之属性覆盖占位符配置器用法示例
08-25
在Spring框架中,属性覆盖占位符配置器(PropertyOverrideConfigurer)是一个非常实用的工具,它允许我们在不修改Spring配置文件的情况下,通过外部属性文件来动态地覆盖Bean的属性值。这种方式增强了应用的灵活性...
maven 占位符打包
09-24
标题“maven 占位符打包”指的是在Maven的POM.xml文件中使用特定的占位符,以便在不同环境中替换为相应的配置值。这样可以实现代码的复用和环境的隔离,提高开发效率并降低出错的可能性。 描述中的“工程运行环境有...
Java占位符三种方案一起时间性能对比
07-10
使用方法,你可以通过在字串中使用`%s`、`%d`等占位符,并传递相应的参数,来生成动态的字串。例如: ```java String name = "John"; int age = 30; String result = String.format("Name: %s, Age: %d", ...
2mybatis(和占位符拼接区别)
xiaoxiaoniaoQ的博客
10-11 839
6.2.3. 占位符拼接区别 1.  类型处理: 占位符#{}传递参数时会做参数类型处理, 拼接${}传递参数时不会做类型处理只进行字串原样拼接 2.  安全性: ${}的原样拼接导致它存在安全漏洞,容易产生SQL注入风险 #{}的类型处理会对参数中存在的SQL敏感字先转义然后再映射给SQL,这就不会影响原先的SQL,因此可以有效防止SQL注入。 3.  工作中的应用: ...
Mybatis占位符拼接区别使用场景
shadow_zed的博客
05-01 1051
SQL注入、占位符拼接
喜欢猪猪
06-03 3106
目录 一、什么是SQL注入 二、Mybatis中的占位符拼接 三、为什么PreparedStatement 有效的防止sql注入? 一、什么是SQL注入 官方: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQ..
【MybBatis细节篇】MyBatis中#{}和${}的区别
输入技术、输出想法
12-02 4612
MyBatis中#{}和${}的区别#{} 和 ${} 的区别#{} 和 ${} 的实例:假设传入参数为 1#{} 和 ${} 的大括号中的值单个参数的情形#{}${}多个参数的情形#{}${}#{} 和 ${} 在使用中的技巧和建议 在MyBatis 的映射配置文件中,动态传递参数有两种方式: 1、#{} 占位符 2、${} 拼接 #{} 和 ${} 的区别 区别1 #{} 为参数占位符 ?,即sql 预编译 ${} 为字串替换,即 sql 拼接 区别2、 #{}:动态解析 -> 预编译
#占位符和$拼接
weixin_44120790的博客
09-03 321
区别: #{ } 解析为一个 预编译语句(prepared statement)的参数占位符 ?作为参数不作为指令去执行,能防止sql注入; ${ } 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换,不能防止sql注入 sql 预编译:是数据库驱动在发送 sql 语句和参数给 DBMS 数据库管理系统之前对 sql 语句进行编译,这样 DBMS 执行 sql 时,就不需要重新编译。 动态解析:mybatis 在调用 connection 进行 sql 预编译之前,会对s
MyBatis中#{}占位符与${}拼接使用
pan_junbiao的博客
12-02 7697
1、关于#{}占位符 先来看以下的示例,该示例是MyBatis中的SQL映射配置文件(Mapper配置文件),在该配置中使用了#{}占位符。 <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" ...
数组占位符_日志输出都有歧义!字拼接 VS 占位符,到底该采用哪种方式?
weixin_36115496的博客
01-15 443
前言说来也巧,这几天正在看一本书,叫做《Java系统性能优化实战》,李家智著的,在代码审查这章中提到了一个关于日志输出问题,先看一下我们原本是怎么输出信息的,如下。privatestaticLoggerlogger=LoggerFactory.getLogger(FileManageApplication.class);publicstaticvoidmain(Str...
VUE学习记录
qq_44174803的博客
12-01 1786
前言: 这篇内容主要当作自己的学习VUE的学习笔记进行记录,从小白开始入门,不断摸索VUE的核心知识点,该笔记将会长期更新 简单的VUE程序和基础VUE语法 由于VUE的几个V指令语法较为简单,因此将其放在一起记录 ...
占位符及格式化输出的三种方法
且视他人之疑目如盏盏鬼火,大胆地去走你的夜路
04-10 2025
最常用的三种格式化输出,占位符%d%f%s的区别
Spring Boot中.properties文件与${}占位符替换源码解析详解
在`DataSource`的构造函数或初始化方法中,通常不会直接写死这些参数,而是通过`String`类型的`url`字段,使用串格式化或者正则表达式查找的方式,找到`${}`占位符并替换为`.properties`文件中的实际值。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值