mybatis 绑定参数不带引号(${}与#{}的区别)

最新推荐文章于 2023-09-18 08:00:44 发布
最新推荐文章于 2023-09-18 08:00:44 发布
阅读量4k 收藏 2
点赞数 3
分类专栏: java 文章标签: mybatis java mysql tomcat 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Bejpse/article/details/126462422
版权

#{} 传入的值会在两边加上引号。(能防止SQL注入)

${} 传入的值会直接加到SQL中。(一般用于传入数据库对象,如表名、数据库名等,在order by中使用)

官方文档中这样描述的:

字符串替换

默认情况下,使用#{}参数语法时,MyBatis 会创建PreparedStatement参数占位符,并通过占位符安全地设置参数(就像使用 一样)。 这样做更安全,更迅速,通常也是首选做法,不过有时你就是想直接在 SQL 语句中直接插入一个不转义的字符串。 比如 ORDER BY 子句,这时候你可以:

ORDER BY ${columnName}

这样,MyBatis 就不会修改或转义该字符串了。

当 SQL 语句中的元数据(如表名或列名)是动态生成的时候,字符串替换将会非常有用。 举个例子,如果你想select一个表任意一列的数据时,不需要这样写:

@Select("select * from user where id = #{id}")
User findById(@Param("id") long id);

@Select("select * from user where name = #{name}")
User findByName(@Param("name") String name);

@Select("select * from user where email = #{email}")
User findByEmail(@Param("email") String email);

// 其它的 "findByXxx" 方法

而是可以只写这样一个方法:

@Select("select * from user where ${column} = #{value}")
User findByColumn(@Param("column") String column, @Param("value") String value);

其中${column}会被直接替换,而#{value}会使用预处理。 这样,就能完成同样的任务:

User userOfId1 = userMapper.findByColumn("id", 1L);
User userOfNameKid = userMapper.findByColumn("name", "kid");
User userOfEmail = userMapper.findByColumn("email", "noone@nowhere.com");

这种方式也同样适用于替换表名的情况。

提示用这种方式接受用户的输入,并用作语句参数是不安全的,会导致潜在的 SQL 注入攻击。因此,要么不允许用户输入这些字段,要么自行转义并检验这些参数。

Bejpse
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis现学现用
12-16
以最短的时间学会Mybatis,并使用到项目中,包括搜集的很多资料;很全很全:并且有项目实例 例如:mybatis中的#和$的区别? 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sql为order by id.    3. #方式能够很大程度防止sql注入。    4.$方式无法防止Sql注入。 5.$方式一般用于传入数据库对象,例如传入表名.    6.一般能用#的就别用$. MyBatis排序时使用order by 动态参数时需要注意,用$而不是# 字符串替换 默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用: ORDER BY ${columnName} 这里MyBatis不会修改或转义字符串。 重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。
Mybatis之#{}与${}的区别使用详解
08-19
Mybatis之#{}与${}的区别使用详解 Mybatis是一款流行的持久层框架,它提供了两种方式来从数据库中获取数据,即#{}和${}。这两种方式都可以用来从数据库中获取数据,但是它们有着不同的使用场景和优缺点。 #{}的...
mybatis foreach 错误_MyBatis 动态SQL where/if/choose/bind介绍
weixin_39541189的博客
11-28 207
当我们需要写复杂的 SQL 语句,往往需要拼接,而拼接 SQL ,稍微不注意,由于引号,空格等缺失可能都会导致错误。  那么怎么去解决这个问题呢? 我们可以使用mybatis的 动态SQL,通过 if, choose, when, otherwise, trim, where, set, foreach等标签,可组合成非常灵活的SQL语句,从而在提高 SQL 语句的准确性...
mybatis引号_mybatis大于号,小于号,去地址符,单引号,双引号转义说明
weixin_39742727的博客
12-19 1314
mybatis中,使用到大于号,小于号,与在SQL编辑器中是不一样的。SELECT * FROM test WHERE 1 = 1 AND start_date <= CURRENT_DATE AND end_date >= CURRENT_DATE 没有问题,可是,在mybaits中执行时,总报错误:Error creating document instance. Cause:...
记录下mybatis中#{}和${}传参的区别
热门推荐
jimmy609的专栏
01-22 3万+
最近在用mybatis,之前用过ibatis,总体来说差不多,不过还是遇到了不少问题,再次记录下, 比如说用#{},和 ${}传参的区别, 使用#传入参数是,sql语句解析是会加上"",比如  select * from table where name = #{name} ,传入的name为小李,那么最后打印出来的就是  select * from table wh
mybatis注解的sql语句中,不要在引用变量两边加引号
weixin_41468455的博客
10-19 1024
这样的格式是错误的,应该把单引号去掉,这种小细节真的一不注意就会忘记。
mybatis中的${},和#{}
YW博客
08-03 362
KaTeX parse error: Expected 'EOF', got '#' at position 11: {}是直接用值替换,#̲{}使用?占位符,就是java…{}取出的并不是字符串,而是去掉引号的内容,所以一般用来获取sql的关键字,像下面就是获取between关键字,and between 第一个值 and 第二个值。如果想用${}获取字符串就得 “${}” 这样获取。......
Mybatis中#{}与${}的区别详解
08-25
Mybatis中#{}与${}的区别详解 Mybatis 中的 #{} 与 ${} 是两个不同的占位符号,用于实现动态 SQL,两者的主要区别在于防止 SQL 注入的能力。#{} 能够很大程度防止 SQL 注入,而 ${} 方式无法防止 SQL 注入。 #{} ...
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
MyBatis中#{}和${}的区别详解
09-01
首先,`#{}`是预编译参数的表示方式,它会被MyBatis转化为PreparedStatement的参数。在SQL语句中使用`#{}`时,MyBatis会将传入的值转化为一个问号(?)代表的参数,例如`WHERE user_id = #{user_id}`。这样做的好处...
Java Mybatis中的 ${ } 和 #{ }的区别使用详解
08-18
Java Mybatis中的 ${ } 和 #{ } 的区别使用详解 Java Mybatis 中的 ${ } 和 #{ } 是两个不同的占位符,都是用于在 Mybatis 中进行动态 SQL 语句的构建和参数传递。然而,这两个占位符在使用时有着极其重要的区别。 ...
mybatis 中生成的字段不带引号 #{}和${}
lixixi
04-09 2549
转载自: https://www.cnblogs.com/azhqiang/p/6297530.html mybatis 中生成的字段不带引号 #{}和${} 转载 2016年07月06日 20:45:25 标签:mybatis /sql 6929 最近在用mybatis,之前用过ibatis,总体来说差不多,不过还是遇到了不少问题,再次记录下, 比如说用#{},和 ${}传参的区别,...
mybatis 中生成的字段不带引号
最新发布
LLiLLiii的博客
09-18 506
使用#{}传入的参数就带’’使用 ${}传入就不带’’
mybatis 没有引号_mybatis 中生成的字段不带引号 #{}和${}
weixin_42349769的博客
01-17 3197
转载自:https://www.cnblogs.com/azhqiang/p/6297530.htmlmybatis 中生成的字段不带引号 #{}和${}转载 2016年07月06日 20:45:25 标签:mybatis /sql 6929最近在用mybatis,之前用过ibatis,总体来说差不多,不过还是遇到了不少问题,再次记录下,比如说用#{},和 ${}传参的区别,使用#传入参数是,sq...
Mybaits 传入参数时带引号(#{parameter})与不带引号(${parameter})的两种写法
piscesL6的博客
05-13 4571
MyBatis 传入参数时的两种方式: 方式一: 接收的参数会包含引号mybatis写法: #{parameter}。 方式二:接收的参数直接拼接在SQL 中,不会自动添加引号mybatis写法:${parameter}。 方式二通常用于在SQL中直接拼接语句:比如动态拼接 order by ${parameter} ...
mybatis #{}与${} 单引号
Wu
04-07 5105
文章目录问题引出解决办法验证 问题引出 今天使用mybitas查询数据库时候报了错 提示不知道的列,查看上方的sql语句,发现sql的语法错了,where查询的条件的值少了单引号 -- 错误提示 select `uid`, `username`, `password`, `time` from blogs_user where username = wu; -- 正...
一次说清Mybatis的#{}和${}的区别
WgRui的博客
07-29 9203
老生常谈了
mybatis mysql插入和修改语句,去掉或替换指定字符
han_xiaoxue的博客
05-20 1292
有的时候数据过来的时候带着一些,我们并不想存入到数据库中的字符,我们可以在mybatis中替换成空或者我们想要的字符。 如下图:将字段中的 # 换成 ‘’
mybatis中#{}与${}的区别
08-24
MyBatis中,#{}和${}都用于动态地接收参数,但是它们在本质上有很大的区别。首先,它们处理参数的方式不同。${}是直接替换,而#{}是预处理。其次,它们的功能和使用场景也不同。#{}适用于普通参数的替换,而如果需要传递SQL命令或SQL关键字,需要使用${}。然而,在使用${}之前,需要进行安全验证,因为${}存在安全问题,而#{}不存在安全问题。因此,在MyBatis中,使用#{}更为安全和可靠。引用<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [MyBatis中#{}和${}的区别](https://blog.csdn.net/m0_67683346/article/details/129257304)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [MyBatis中${} 和 #{} 有什么区别?](https://blog.csdn.net/m0_72088858/article/details/126845128)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值