Mybatis中#{}和${}输入参数的区别

最新推荐文章于 2023-03-01 21:53:16 发布
最新推荐文章于 2023-03-01 21:53:16 发布
阅读量446 收藏 1
点赞数
分类专栏: java mybatis sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DingKG/article/details/82804863
版权
java 同时被 3 个专栏收录
86 篇文章 2 订阅
订阅专栏
sql
18 篇文章 1 订阅
订阅专栏
mybatis
11 篇文章 0 订阅
订阅专栏

#{}

mybatis 会进行预编译,比如(假设ID=6):

select * from user where id=#{ID}

会先编译成

select * from user where id=?

然后用ID的值(6)替代?

#{}的优势

更安全

如果传入的值值中有#(#在sql中表示注释)使用#{},不会使#后面的sql失效,当传入的name参数中有#,比如hh#:

select * from user where name=#{name} and id=#{ID}

执行的sql为

select * from user where name="hh#" and id=6

如果用${}

select * from user where name=${name} and id=${ID}

则执行的sql为

select * from user where name="hh" # and id=6

因为#表示注释所以执行效果相当于

select * from user where name="hh"

可以指定其它属性

如果name参数传入的值为null,mybatis会默认name值为other类型 ,但是oracle数据库不能处理other类型,因此会报不能识别的错误。此时就可以用jdbcType属性指定类型

select * from user where name=#{name, jdbcType=null} and id=${ID}

当然也可以在mybatis配置文件中进行配置

<settings>
        <setting name="jdbcTypeForNull" value="NULL"/>
    </settings>

${}

mybatis 会直接进行编译,比如(假设ID=6):

select * from user where id=${ID}

会直接编译成

select * from user where id=6

${}的优势

jdbc不支持占位符的地方可以使用${}进行取值,比如表名和排序字段
select * from ${user} where name=#{name} and id=#{ID} order by ${name}
一瓶橄榄菜
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用Mapper.xml文件来定义SQL语句,并使用#{ }和${ }来传递参数。那么,在Mybatis下动态sql##和$$的区别是什么呢? ...
MyBatis#{}和${}的区别详解
09-01
MyBatis框架,`#{}`和`${}`是两种不同的占位符,它们各自有不同的用途和特性。了解它们的区别对于编写安全、高效的SQL语句至关重要。 首先,`#{}`是预编译参数的表示方式,它会被MyBatis转化为...
新人一看就懂: #{} 和 ${} 的区别
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
mybatis #{}和${}的区别是什么
weixin_30895603的博客
04-16 1600
#{}和${}的区别是什么?正确的答案是:#{}是预编译处理,${}是字符串替换。(1)mybatis在处理#{}时,会将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值。(2)mybatis在处理${}时,就是把${}替换成变量的值。(3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输...
#{}和${}的区别
weixin_50977434的博客
11-10 2440
简单明了实用
Mybatis的${}和#{}区别
web18484626332的博客
08-02 8728
动态sql是mybatis的主要特性之一,在mapper定义的参数传到xml之后,在查询之前,mybatis会对其进行动态解析。mybatis为我们提供了两种支持动态sql的语法#{}以及${}提示以下是本篇文章正文内容,下面案例可供参考。...
${}和#{}的区别
plqwf19880902的博客
04-26 9255
1)#{}是预编译处理,$ {}是字符串替换。 2)mybatis在处理两个字符时,处理的方式也是不同的: ①、处理#{}时,会将sql的#{}整体替换为占位符(即:?),调用PreparedStatement的set方法来赋值; ②、在处理 $ { } 时,就是把 ${ } 替换成变量的值。 3)假如用${}来编写SQL会出现:恶意SQL注入,对于数据库的数据安全性就没办法保证了。以下是示例: 恶意SQL语法注入实例: String sql="select * from user wher
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis的#和$的区别 以及防止sql注入的方法
09-01
MyBatis,`#`和`$`在动态SQL的使用有着明显的区别,它们在处理传入数据的方式上有所不同,同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
mybatis防止sql注入
大河塬
02-20 918
sql注入大家都不陌生,是一种常见的攻击方式,攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or ‘1’=’1’”这样的语句,有可能入侵参数校验不足的应用程序。所以在我们的应用需要做一些工作,来防备这样的攻击方式。在一些安全性很高的应用,比如银行软件,经常使用将sql语句全部替换为存储过程这样的方式,来防止sql注入,这当然是一种很安全的方式,但我们平时开发,可能不需要这种
mybatis参数#{}和${}说明
漫天雪_昆仑巅
05-24 1189
在Mybaties参数通配符可以用#{param}或者${param}这两种方式,但是这两种方式是有一定区别的,具体对比如下:参数说明#{param} :以预编译的形式,将参数设置到sql语句,PreparedStatement,防止sql注入;${param} :取出值直接拼装在sql,有sql注入安全隐患;示例:select * from tb where id = ${id} and ...
mybatis#{}和¥{}区别
weixin_45447017的博客
08-25 7196
mybatis#{}和¥{}区别 #{}与JDBC一样创建prearedStatement参数占位符并安全设置参数(就像使用 ? 一样),安全迅速,转义字符 ${} 采用的是字符串拼接参数的形式,不太安全,当传入参数为字段名,表名,排序方式,固定常量则可以使用。不转义字符串,有风险,同时存在sql注入,一般设置固定变量,例如字段名, 另外提到resultMap 它则是结果映射定义,作用是将体现每行记录的映射,其type属性是接收参数的类型,在resultMap标签还有常用id标签 一般用于存储接收的
MyBatis 输入参数parameterType
weixin_44358208的博客
05-12 158
输入参数parameterType: #{},${}的区别: 1、类型为简单类型(8个基本类型+String) #{任意标识符} ${value},标识符只能是value,否则会出错。 2、类型为对象 #{属性名} ${属性名} 2、#{}自动给String加上单引号’’(自动类型转换) ${}原样输出,需要人为加上单引号,即 ’ ${value}’ <select id="selectStudentByStuName" parameterType="String" resultType="org.e
Mybatis传入参数类型为Map
热门推荐
earthhour的专栏
03-21 15万+
参考:https://www.cnblogs.com/seeusmile-cnblog/p/6221340.htmlhttps://www.cnblogs.com/huzi007/p/5969711.html方式一:mybatis更新sql语句:&lt;update id="publishT00_notice" parameterType="Map"&gt; update test set c...
${_parameter}mybatis参数的理解
AinUser的博客
08-22 9912
&lt;select id="queryTableDataForMap" parameterType="String" resultType="map"&gt; ${_parameter} &lt;/select&gt; 在mybatismapper文件像这样写,你只需要传入一条String格式的sql语句 他就可以直接执行了,所以可以在动态配置的时候使用到 该参数的含义:当...
对于mybatis输入参数的讨论
FairyKunKun的博客
05-12 118
输入参数有两种,prameterType和prameterMap(遗弃了,早期ibatis的做法) 只使用prameterType 情形 (1)参数为简单类型(单个值) 如:根据编号查询部门信息, 输入参数就一个编号,int类型,简单类型 占位符#{任意写} (2)参数为实体类型时 如:添加一个部门,输入参数是Dept对象,占位符必须写成#{实体类的属性名} (3)参数为Map类型 要求:占位符必须是map的key 需求:分页查询部门 ...
Mybatis传递参数的四种方式
断橋殘雪的博客
02-28 1万+
目录方式一、顺序传递参数方式二、注解@Param传递参数方式三、使用Map集合传递参数方式四、使用JavaBean实体类传递参数 方式一、顺序传递参数 mapper.java文件: public User selectUser(String name, int deptId); mapper.xml文件: &lt;select id="selectUser" resultType="com.wy...
mybatis#{}和${}的区别
最新发布
06-07
MyBatis ,#{} 和 ${} 都是用来在 SQL 语句引用参数的。它们的主要区别在于: 1. #{} 会将参数值作为一个字符串进行预编译处理,并在 SQL 执行时使用占位符 ? 代替,可以有效的防止 SQL 注入攻击。 2. ${} ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值