MyBatis - ${} 和 #{} 区别和用法

已于 2022-01-24 19:02:17 修改
阅读量659 收藏 1
点赞数 1
分类专栏: # MyBatis 文章标签: ${} MyBatis #{} 区别 用法
于 2018-11-27 15:33:55 首次发布
原文链接:https://blog.csdn.net/j04110414/article/details/78914787
版权

Mybatis 的Mapper.xml语句中parameterType向SQL语句传参有两种方式:#{} 和 ${}

我们经常使用的是#{},一般解说是因为这种方式可以防止SQL注入,简单的说#{}这种方式SQL语句是经过预编译的,它是把#{}中间的参数转义成字符串,举个例子:

select * from student where student_name = #{name} 

预编译后,会动态解析成一个参数标记符 "?"

select * from student where student_name = ?

而使用${}在动态解析时候,会传入参数字符串

select * from student where student_name = 'lux_sun'

总结

  1. #{} 这种取值是编译好SQL语句再取值。
  2. ${} 这种是取值以后再去编译SQL语句。
  3. #{} 方式能够很大程度防止SQL注入。
  4. $ 方式无法防止SQL注入。
  5. $ 方式一般用于传入数据库对象,例如传入表名。
  6. 一般能用 # 的就别用 $ 。
陆氪和他的那些代码
关注
专栏目录
mybatis中的#和$的区别
kobi521的专栏
11-25 11万+
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的
mybatis-plus-generator-ui:对mybatis-plus-generator进行封装,通过Web UI快速生成兼容的Spring boot,mybatis-plus框架的各类业务代码
03-20
使用方法 ♡maven的相关依赖,注意范围只需要写test就可以了 < groupId>com.github.davidfantasy</ groupId> < artifactId>mybatis-plus-generator-ui < version>1.4.2 < scope>test 在项目的test目录新建一...
MyBatis 中 #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1277
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS中 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
超全!MyBatis详解
最新发布
Lysmua的博客
08-14 3253
MyBatis 1. MyBatis简介 MyBatis是一款优秀的持久层框架,用于简化JDBC的开发。 MyBatis本是 Apache的一个开源项目iBatis,2010年这个项目由apache迁移到了google code,并且改名为MyBatis 。2013年11月迁移到Github。 官网:mybatisMyBatis 3 | 简介 持久层:指的是就是数据访问层(dao),是用来操作数据库的。 框架:是一个半成品软件,是一套可重用的、通用的、软件基础代码模型。在框架的基
Mybatis中的${}和#{}区别
m0_62520968的博客
05-10 1423
一、${}与#{}的区别 1、符号类型 (1)#{}:参数占位符,即预编译 (2)${} :字符串替换符,即SQL拼接 2、防注入问题 (1)#{}:很大程度上能防止sql 注入 (2)${}:不能防止sql 注入 3、参数替换位置 DBMS:数据库管理系统(Database Management System)是一种操纵和管理数据库的大型软件,是用于建立、使用和维护数据库,简称DBMS。它对数据库进行统一的管理和控制,以保证数据库的安全性和完整性。用户通过DBMS访问数据库中的数据,数据库管理员也通
mybatis中的#{}和${}
submorino的专栏
11-25 2442
mybatis中的#{}和${} 1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1)   1)#{}为参数占位符?,即sql 预编译   2)${}为字符串替换,即sql 拼接 (2)   1)#{}:动态解析 ->预编译-> 执行   2)${}:动态解析 ->编译-> 执行 (3)   1)#{}的变量替换是在DBMS中   2)${}...
mybatis plus的传参#{}与${}
weixin_43930851的博客
04-25 2135
java实践
mybatis-dalgen:Mybatis-dalgen
05-14
目前正在使用的代码生成工具,只能根据指定表结构反向生成do,mapper,mapper.xml且生成大量mybatis动态sql. *dalgen 除能根据指定表结构生成 do,mapper,mapper.xml外,还能根据自定义sql 自动生成对应mapper接口中的...
mybatis-3-config.dtd mybatis-3-mapper.dtd
06-04
MyBatis的配置和使用过程中,有两个核心的DTD(Document Type Definition)文件起着至关重要的作用,它们分别是`mybatis-3-config.dtd`和`mybatis-3-mapper.dtd`。 首先,我们来看`mybatis-3-config.dtd`。这个...
一文解惑mybatis中的#{}和${}
一个菜鸡的博客
07-19 5713
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
mybatis-plus: #{}和${}的区别
玉汝于成
07-31 533
MyBatis以及MyBatis-Plus中,#{}和${}都是用于在SQL语句中嵌入参数的占位符,但它们在使用方式和安全性上存在明显的区别。尽可能使用#{}来避免SQL注入的风险。在需要动态构建表名、列名等SQL元素时,才考虑使用${},但要确保传入的参数是安全的。始终牢记,安全是软件开发中最重要的考虑因素之一,特别是在处理用户输入和数据库交互时。
mybatis动态传参#{}和${}的区别
qq_43521583的博客
12-02 3689
mybatis动态传参#{}和${}的区别 #{}是PreparedStatement 可以防止sql注入 ${}是Statement 详细请看下面这个帖子,很全面 https://blog.csdn.net/siwuxie095/article/details/79190856
彻底搞懂MyBatis中${}和#{}
qq_63815371的博客
01-12 1189
目录 一、搭建模拟场景 二、SQL注入问题 三、#{}和${}的区别 四、#{}底层是如何防止SQL注入的? 五、那么问题来了:什么时候用#{},什么时候用${}呢? 一、搭建模拟场景 数据库数据 DAO接口 Mapper.xml 执行测试代码 package com.luck.bookstore.ware; import ... @RunWith(SpringRunner.class) @SpringBootTest public class Bo
Mybatis常问:#{}与${}的区别
zjjcchina的博客
06-06 2099
查询到数据才可以是登录成功,否则表示登陆失败,但是会有这么一种情况,我们的SQL语句是由我们拼接的,如果用户故意输入可以让后台解析失败的字符串,这就是SQL注入,例如我们输入密码,输入 '''' ' or 1=1'' 这样,他会在后台进行拼接成select count(1) from table where username = 'username' and password = '' or 1=1;由结果可以看出,我们在没有密码的情况下依旧获取到了数据库的私密信息,由此可见${}存在很大的安全隐患。
mybatisplus # $区别
yubin1285570923的博客
05-31 517
是先取值后预编译(字符串拼接后,进行编译)对应的变量自动加上单引号 ’ ',变为字符串。对应的变量是不会被加上单引号 ’ ’ 的。的方式编写的sql时,
MyBatis之#{}与${}的区别
小异常的博客
03-11 227
本篇博客主要讲解的是 MyBatis 中两种 动态 SQL 的语法:#{} 和 ${}。 相信大学在学习 MyBatis 的时候,都会使用到 #{},而对 ${} 没怎么用过和见过,那是因为现在 #{} 已经彻底替换了 ${},使用 ${} 太不安全了。
MyBatis-#{}和${}的区别
weixin_43472934的博客
08-05 175
OGNL语言 在MyBatis框架中支持两种 OGNL语法 #{} ${} 第一种情况对比:添加数据 #{} --UserMapper.java @Insert("insert into user(username,password,age) values(#{username},#{password},#{age})") @Options(useGeneratedKeys = true,keyColumn = "id",keyProperty = "id") int insertUserInfo(U
MyBatis中#{}和${}的区别详解
qq_34377273的博客
11-26 523
昨天在开发中遇到一个问题,有一个查询语句,在数据库中执行该sql语句查询出的内容是按设定好的顺序的,但是在程序中执行的时候,内容顺序变了,sql的最后orderby ***desc中,排序的字段是动态赋值的,一直不知道为什么排序没有生效。查询之后才发现是因为用了#{***}的方式来赋值的。应该用${***}; 有两条sql查询语句,看看有什么区别: select * from user ...
Mybatis-Plus与Mybatis全面对比解析
"Mybatis-Plus和Mybatis区别详解" Mybatis-Plus与Mybatis都是Java领域用于操作数据库的框架,但它们在功能和使用方式上存在显著差异。Mybatis是核心框架,允许开发者通过编写Java代码来执行SQL,但它需要在Mapper...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值