Mybatis中#{}与${}的占位符区别(无废话+易懂演示)

最新推荐文章于 2023-05-18 23:40:21 发布
最新推荐文章于 2023-05-18 23:40:21 发布
阅读量346 收藏 1
点赞数 2
文章标签: mybatis sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BLWY_1124/article/details/126185556
版权

Mybatis的#{}${}格式的占位符区别

当使用#{}占位符时:

  1. SQL语句会进行预编译处理

    select * from a_table where id=#{id}
相当于先编译问号前面的语句,当正式执行时,再传入值到问号中执行。
select * from a_table where id=?

    预编译:不代入值的情况下,执行编译,后续执行时再将值代入

  2. 不存在SQL注入的问题

因为使用#{}占位符时,SQL语句会进行预编译处理,sql语义已经确定,只是留了一个位置等待参数传进去。最后传进去的值会直接运行。就相当于方法传参。

  1. #{}格式的占位符只能表示某个值,不能表示SQL语句中的某个片段,

    预编译必须语义正确才能成功,已经预编译后,执行时再将值代入

  2. 不需要关注参数值的数据类型

使用#{}占位符时:

<select id="getStandardById" resultMap="StandardResultMap">
    SELECT
       *
    FROM
        a_table
    WHERE
        id=#{id}     
</select>

当使用${}占位符时:

  1. 会先将值拼接到SQL语句中,再执行编译相关流程

    相当于String字符串提前拼接成的sql语句,放到数据库中执行

  2. 存在SQL注入的风险

    就相当于String字符串拼接后再执行,sql语义在拼接时有可能被改变

  3. ${}格式的占位符可以表示SQL语句中的任何片段,不仅仅只是某个值而已,只需要保证将值代入后拼接得到的SQL语句是合法的即可

    SELECT
   *
FROM
  a_table
WHERE
    ${where}    <=传入的参数直接拼接,比如传入where id=1 或者where name='jack' 比较灵活

  4. 但是,对于非数值类型(字符串、时间等)的值,需要使用一对单引号框住参数值

拼接的sql语句,必须满足sql语法

当使用${}占位符时:

<select id="testGet" resultMap="StandardResultMap">
    SELECT
        <include refid="StandardQueryFields"/>
    FROM
        pms_album
    WHERE
        ${where}
</select>

<!-- List<AlbumStandardVO> testList(
        @Param("offset") Integer offset, @Param("count") Integer count); -->
<select id="testList" resultMap="StandardResultMap">
    SELECT
        <include refid="StandardQueryFields"/>
    FROM
        pms_album
    ORDER BY
        id
    LIMIT
        ${offset}, ${count}
</select>
别来无恙blwy
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
Mybatis#{}与${}的区别详解
08-25
Mybatis 的 #{} 与 ${} 是两个不同的占位符号,用于实现动态 SQL,两者的主要区别在于防止 SQL 注入的能力。#{} 能够很大程度防止 SQL 注入,而 ${} 方式无法防止 SQL 注入。 #{} 是一个占位符号,相当于 JDBC ...
MyBatis学习:#占位符和 $占位符区别
weixin_46281472的博客
08-05 1098
目前我本人正在学习MyBatis框架,在原先了解并且懵懵懂懂使用的基础上,开始系统正式的学习。阐述了MVC架构模式和三层架构,明晰了在Web项目的普遍编码层次,回顾了JDBC连接数据库,建立了使用MyBatis和MySQL的Maven项目,解释了STDOUT_LOGGING日志和手动提交事务,记录了MyBatis#占位符的使用方法,回顾了MyBatis执行SQL语句的过程和使用到的一些重要类和接口,记录了将固定化的代码整合到一个工具类MyBatisUtil,以减少代码量。...
MyBatis——谈谈占位符(#、$)的理解与使用
热门推荐
★★光亭★★
03-02 2万+
MyBatis——谈谈占位符(#、$)的理解与使用
MyBatis 文写入数据库问号
SmartSi
05-18 1064
在通过 MyBatis 将数据插入 MySQL 数据库时,将文插入数据后变成了问号
Mybatis#和$的区别
伏颜的博客
07-11 1万+
Mybatis#和$的区别
Mybatis占位符#和$的区别?源码解读
Wayn111的博客
02-09 313
由上经过源码分析,我们知道Mybatis对#{}占位符是直接转换成问号,拼接预处理 sql。${}占位符是原样拼接处理,有sql注入风险,最好避免由客户端传入此参数。
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
浅谈Mybatis #和$区别以及原理
08-18
在PreparedStatementHandler的query方法,我们可以看到,Mybatis已经将SQL语句占位符替换成了实际的参数。 结论 Mybatis的#和$占位符都是用于参数化SQL语句的,但是它们的作用和处理机制不同。#号可以防止...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Mybatis # 和 $ 占位符区别
qq_42286362的博客
12-23 617
一、# 占位符 语法:#{字符} mybatis处理#{}使用jdbc对象是PreparedStatement对象 <select id="selectStudentById" parameterType="integer" resultType="com.itjuzi.entity.Student"> select id,name,email,age from Student where id = #{id} </select> 即mybat
MyBatis#占位符和$占位符有什么区别
xuexihao1234的博客
07-16 1468
区别: 在sql当传入的参数是字符型,则用#号会带上单引号,不会引起sql注入 在sql当传入的参数是字符型,则用$号不会带上单引号,会引起sql注入 举个例子: 当传入的参数用于查询条件,尽量用#号,特殊情况可酌情使用#号或$号 mybatis代码: select id,name from user where name = #{userName} 解析后的sql语句: select id,name from user where name = '张三' 当传入的参数用于字段或表名,则必须使用$
mybatis 参数占位符#{}与${}的区别
zengwl756649007的博客
01-05 391
mybatis 参数占位符#{}与${}的区别 1、#{}传入的是字符串,会自动加上引号 如:name=张三,select * from table where name=#{name},则执行:select * from table where name='张三' 2、${}传入的就是字符本身,不会加引号,所以会有sql注入的风险。 如:name=张三,select * from table where name=#{name},则执行:select * from table where name
mybatis#和$符号的区别
weixin_34384915的博客
07-19 355
mybatis做为一个轻量级ORM框架在许多项目使用,因其简单的入门受到了广大开发者的热爱。在近期项目再做一个相关的开发,碰到了#、$符号这样的问题,之前没怎么注意过,通过学习之后,有了点感悟,分享如下, #{} 使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且...
(九)Mybatis的#{}占位符和${}拼接符的区别
秦怀杂货店
06-26 5193
注:代码已托管在GitHub上,地址是:https://github.com/Damaer/Mybatis-Learning,项目是mybatis-05-CURD,需要自取,需要配置maven环境以及mysql环境,觉得有用可以点个小星星,小菜鸟在此Thanks~ 1.#{}占位符 1.#{}占位符可以用来设置参数,如果传进来的是基本类型,也就是(string,long,double,in...
2mybatis(和占位符与拼接符区别)
xiaoxiaoniaoQ的博客
10-11 788
6.2.3. 占位符与拼接符区别 1.  类型处理: 占位符#{}传递参数时会做参数类型处理, 拼接符${}传递参数时不会做类型处理只进行字符串原样拼接 2.  安全性: ${}的原样拼接导致它存在安全漏洞,容易产生SQL注入风险 #{}的类型处理会对参数存在的SQL敏感字符先转义然后再映射给SQL,这就不会影响原先的SQL,因此可以有效防止SQL注入。 3.  工作的应用: ...
Mybatis占位符 #与占位符$区别
zalan01408980的博客
04-20 669
#{}速度快,能防止sql注入,是占位符方式,先预编译,然后填充参数,字符串格式,用户名=(___),参数只是下划线上的内容${}是直接拼接到语句上,这种方式需要自己拼括号和参数,但是也可以拼接想执行的任何语句,也就是传说sql注入详情如下 在MyBatis使用参数进行SQL拼装经常会使用到#{var}和${var}两种参数的设置方式。下面是两种方式的不用之处: #{var}使用预编译的...
彻底解决mybatis 插入数据文后显示问号(?)的问题
非学无以广才,非志无以成学
06-27 1万+
在spring+mybatis开发 遇到插入文字符数据变成问号的问题1、一般第一步可能会去看spring项目的web.xml是否设置了字符过滤器但是一看代码已经拷贝过来了啊  ┭┮﹏┭┮2、那会不会是tomcat没有设置字符的问题?于是打开server.xml空欢喜 还是设置过了啊 ┭┮﹏┭┮3、对了还有个地方可能出问题 那就是数据库连接文件 jdbc_url连接地址后面是否加了utf8...
Mybatis # 与$的区别
最新发布
09-23
与传统的JDBC相比,Mybatis提供了更简洁、灵活的方式来执行SQL语句并映射数据到Java对象Mybatis的核心思想是将SQL语句与Java代码进行分离,通过使用XML或注解来描述SQL语句的编写和映射规则。这样可以使得SQL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

别来无恙blwy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值