${} 和 #{} 的区别 MySQL

最新推荐文章于 2022-11-27 05:35:49 发布
最新推荐文章于 2022-11-27 05:35:49 发布
阅读量356 收藏
点赞数 1
分类专栏: MySQL 文章标签: MySQL SQL注入 动态传参 url 传参 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dreamer_good/article/details/109598574
版权 
默认情况下,使用#{}语法,MyBatis会产生PreparedStatement语句,并且安全地设置PreparedStatement参数,这个过程中MyBatis会进行必要的安全检查和转义。例如:
    
    执行SQL:select * from emp where name = #{employeeName}
    参数:employeeName=>Smith
    解析后执行的SQL:select * from emp where name = ?

    执行SQL:Select * from emp where name = ${employeeName}
    参数:employeeName传入值为:Smith
    解析后执行的SQL:Select * from emp where name =Smith

综上所述,${}方式可能会引发SQL注入的问题,同时也会影响SQL语句的预编译,所以从安全性和性能的角度出发,应尽量使用#{}。当需要直接插入一个不做任何修改的字符串到SQL语句中,例如在ORDER BY后接一个不添加引号的值作为列名,这时候就需要使用${}。

 

非著名程序员.
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql中 ${param}与#{param}使用区别
09-08
主要介绍了mysql中 ${param}与#{param}使用区别,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
MySQL进阶查询
CN_PanHao的博客
08-27 288
这里写目录标题MySQL进阶查询按关键字排序按单字段排序 MySQL进阶查询 按关键字排序 使用ORDER BY语句来实现排序 排序可针对一个或多个字段 ASC:升序,默认排序方式 DESC:降序 ORDER BY的语法结构 select column1,column2,...from table_name order by column1,column2,...asc|desc; 按单字段排序 ...
《深入理解mybatis原理(十二)》 mybatis深入理解之#与$区别
热门推荐
pfnie的博客
11-19 1万+
一、介绍       mybatis 中使用 Mapper.xml里面的配置进行 sql 查询,经常需要动态传递参数,例如我们需要根据用户的姓名来筛选用户时,sql 如下: select * from user where name = "Jack";上述 sql 中,我们希望 name 后的参数 "Jack" 是动态可变的,即不同的时刻根据不同的姓名来查询用户。在 Ma
mysql $用法_Mysql用法汇总
weixin_42513269的博客
01-18 1489
mysql用法总结及整理1、group by ...HAVING 获取分组大于某个总数的的前多少位SELECT user_id, count(*) as total FROM `blog_index_tbl` WHERE add_time BETWEEN UNIX_TIMESTAMP('2016-01-01 00:00:00') AND UNIX_TIMESTAMP('2016-12-31 23...
MySQL中#{}和${}的区别是什么?
Fover_Night的博客
11-27 846
MySQL中#{}和${}的区别是什么?
mysql中#与$_mybatis中#{}和${}的区别详解
weixin_30433439的博客
02-08 302
1. 概念#{}和${}都可以传输数据,两者的差异是编译的时期不一样#{}是一次编译,后续每次调用只是传递一个参数进去${}是每次都会编译,传递进去的数据会当做sql语句一起编译2. sql语句的编译sql语句编译有两种形式,即statement和PrepareStatement两种2.1 Statementstatement每次执行语句都要重新编译一次,然后在DBMS中执行举例//stateme...
MYSQL 表名作为变量时,必须使用 ${ }
L'Étranger的博客
09-06 1752
MYSQL 表名作为变量时,必须使用 ${ }
详解MySql#{}和${}占位符
weixin_72125569的博客
09-08 4451
#{}和${}占位符 MySql处理sql语句过程 注入问题
mysql传参数 和 区别_Mybatis:传入参数方式以及#{}与${}的区别
weixin_42516903的博客
01-18 608
一、在MyBatis的select、insert、update、delete这些元素中都提到了parameterType这个属性。MyBatis现在可以使用的parameterType有基本数据类型和JAVA复杂数据类型基本数据类型:包含int,String,Date等。通过#{参数名},只能传入一个参数;通过#{0}、#{1}……索引方式,可以传入多个参数;如果通过#{参数名}传多个值,又不想使...
mysql中 ${param}与#{param}区别
丿kiss灬火舞的博客
04-27 7095
param传递的参数会被当成sql语句中的一部分,比如传递表名,字段名例子:(传入值为id)orderbyparam传递的参数会被当成sql语句中的一部分,比如传递表名,字段名例子:(传入值为id)orderby{param}传递的参数会被当成sql语句中的一部分,比如传递表名,字段名 例子:(传入值为id) order by {param} 则解析成的sql为: order by ...
浅析Oracle和Mysql分页的区别
09-09
Mysql使用limit分页而Oracle使用rownum分页,下面通过本文给大家介绍Oracle和Mysql分页的区别,需要的的朋友参考下吧
MySQL Antelope和Barracuda的区别分析
09-10
主要介绍了MySQL Antelope和Barracuda的区别分析,Antelope和Barracude都是一种文件格式,需要的朋友可以参考下
简述Redis和MySQL区别
09-09
主要介绍了简述Redis和MySQL区别,小编觉得挺不错的,这里给大家分享下,需要的朋友可以了解。
Oracle10个分区和Mysql分区区别详解
09-09
MySQL分区常用的是:range、list、hash、key,Oracle10g分区常用的是:range(范围分区)、list(列表分区)、hash(哈希分区)、range-hash...下面通过本文详细给大家介绍Oracle10个分区和Mysql分区区别,一起看看
MySQL中#{}与${}的区别
AcHEn的博客
10-25 9353
#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”. $将传入的数据直接显示生成在sql中。如:order by useriduser_iduseri​d,如果传入的值是111,那么解析成sql时的值...
Java开发MySQL中#{} 和 ${}的区别
weixin_57529171的博客
11-12 1873
梗概 #{}: 占位符号,可以防止sql注入,自己会带有双引号; ${}:sql拼接符号,存在sql注入问题,需要在代码中过滤以避免注入,不会带有双引号; MyBatis排序使用order by 动态参数时,用${}而不是#{}。 详细区别 #{}: SELECT * FROM user WHERE name = #{nameParam}; 解析为一个JDBC预编译语句后: SELECT * FROM user WHERE name = ?; 即#{} 解析为?,当 nam.
MySQL
weixin_34281537的博客
09-20 279
数据库概念 一台服务器下有多个库,一个库下有1到多张表,表有多行多列的数据。postgresql也是一个开源数据库,而且sql标准执行方面,比mysql要严格。 表格 --> 档案袋 --> 人管理(MySql) MySql 安装 MySql5.1 & MySql5.5 稳定版 基本入门语句 链接数据库 mysql ...
#{}和${}的区别是什么?
AKA_1234的博客
08-20 7224
#{}和${}的区别是什么? #{}:是预编译处理,可以防止SQL注入 ${}:是字符串替换 例如: 在Mybatis中当你进行数据库查询时SQL语句通过#{id}传值 <select id="SelecUserById" resultType="com.hzc.pojo.User" parameterType="int"> select *from user where id=#{id}; </select> 当你执行项目时,我们通过log4j打印日志出来可以看到 DEB
$与#区别
zzjvslove的博客
09-20 635
比如说一条SQL语句 select * from user where id=${id} and username=#{username} 在经过编译后,得到如下语句 select * from user where id=2 and username=? 通过以上SQL语句看出,经过编译后 如果是#{}的形式是编译成?,而如果${}是编译成直接的数据。 区别: #{}: 是
MySQL中#和$ 的区别
最新发布
06-03
MySQL 中,"#" 和 "$" 都没有特殊含义,它们不具有任何SQL语句的作用,也不能用于注释。 但是,在 MySQL 中,"#" 可以作为存储过程中的注释符号。具体来说,当在存储过程中使用 "#" 后,其后的内容会被视为注释,直到遇到下一个 "#" 符号或存储过程结束符 "END"。 而 "$" 在 MySQL 中可以作为分隔符。在定义存储过程或函数时,可以使用 "$" 作为结束符,表示该存储过程或函数的定义结束。在执行这个存储过程或函数时,也需要使用 "$" 作为分隔符,将 SQL 语句与存储过程或函数的定义分隔开。 需要注意的是,使用 "#" 或 "$" 作为存储过程或函数的注释符号或分隔符需要事先设置 MySQL 的分隔符。可以使用 "DELIMITER" 命令来设置分隔符,例如 "DELIMITER #" 表示将 "#" 设置为分隔符。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值