Mybatis的#{}与${}占位符

最新推荐文章于 2024-01-10 17:06:22 发布
最新推荐文章于 2024-01-10 17:06:22 发布
阅读量330 收藏
点赞数
文章标签: mybatis mysql java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EthanZ001/article/details/126806119
版权

在使用Mybatis配置SQL语句时, SQL语句中的参数可以使用#{ }格式的占位符, 例如 :
下面展示一些 内联代码片

<!-- AlbumStandardVO getStandardById(Long id); -->
<select id="getStandardById" resultMap="StandardResultMap">
    SELECT
        <include refid="StandardQueryFields"/>
    FROM
        pms_album
    WHERE
        id=#{id}
</select>

其实, 还可以使用KaTeX parse error: Expected 'EOF', got '#' at position 17: … }占位符! 以上配置, 使用#̲{ }或{ }格式的占位符均可正常通过测试!
另外 , 再使用一段代码进行测试 :

<!-- int countByName(String name); -->
<select id="countByName" resultType="int">
    SELECT count(*) FROM pms_album WHERE name=#{name}
</select>

以上代码, 使用#{ }格式的占位符可以正常通过测试, 但是, 使用${ }格式的占位符则会出现错误:

Cause: java.sql.SQLSyntaxErrorException: Unknown column '小米13的相册' in 'where clause'
; bad SQL grammar []; nested exception is java.sql.SQLSyntaxErrorException: 
Unknown column '小米13的相册' in 'where clause'

通过错误信息, 可以看到, SQL语句中将测试参数" 小米13相册 "作为了列名(字段名)!
其实, 在SQL语句中, 除了关键词, 数值, 运算符, 函数名等非常固定的内容以外, 所以内容都会被视为某个名字, 例如: 表明, 字段名或其他自定义的名称(例如索引名等) , 比较典型的应用, 例如 :

update bank_account set money = money + 1000 where id = 1;

以上SQL语句的意思大致是: 将id=1的账户余额再现有的基础上再加1000.
可以看到, 在以上set money = money + 1000部分的代码片段中, 等于号右侧的money会被视为" 字段名 "!
为了避免MySQL把小米13的相册作为了字段名, 必须在其两侧添加一对单引号, 例如 :

SELECT count(*) FROM pms_album WHERE name='${name}'

或者, 在测试数据的两侧添加一堆单引号也是可以的:

String name = "'小米13的相册'";

所以, 在SQL语句中, 只有将值使用一对双引号框柱(数值除外) , 才会被认为是" 值 "!

小结:
在MySQL处理SQL语句时, 会经过词法分析, 语义分析, 然后再执行编译, 最终执行!
在Mybatis中, 使用#{ }格式的占位符, 在底层实现时, 会使用预编译(在编译时与参数值无关) 的处理机制, 值将会在执行时再代入 ! 由于采用了预编译的做法, 所有值都不用考虑数据类型的问题, 例如 , 不需要给字符串类型的值添加一对单引号, 并且, 预编译是安全的, 不会出现SQL注入问题! 这种做法中, #{ }占位符只能表示SQL语句中的某个值, 而不能表示其他内容!
使用${ }格式的占位符, 在底层实现时, 会先将值拼接到原SQL语句中, 然后再执行编译的相关流程! 由于不是预编译的, 字符串, 日期等类型的值需要添加一对单引号, 否则, 将被视为字段名, 运算表达式等, 由于是先代入值再执行编译相关流程, 所以, 代入的值是可以改变语义的, 是存在SQL注入风险的! 这种做法中, ${ }占位符可以表示SQL语句中的任何片段, 只需要保证拼接起来后可以通过编译即可!

附:SQL注入演示:

select * from user where username='xxx' and password='xxxxxxxxxxxx';
--       	  																				1'  or  'a'='a


select * from user where username='xxx' and password='1' or '1'='1';
                                                    										  or true
伊森Z
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Mybatis占位符 ${} and #{} 兄弟二人!
weixin_45925109的博客
04-07 292
{}占位符 可以直接看最后的总结! 介于上篇博客中Mybatis快速入门 增删改查 傻瓜教程!SQL语句中的值是写死在SQL中,而在实际开发中,此处的值往往是用户提交过来的值,因此这里我们需要将SQL中写死的值替换为占位符。 1.查询emp表中指定id的员工信息 <select id="findById" resultType="com.tedu.pojo.Emp"> selec...
Mybatis中#{}与${}的占位符区别(无废话+易懂演示)
BLWY_1124的博客
08-05 346
mybatis中#和$的区别是什么?
MyBatis的#{}占位符和${}拼接符的区别
努力努力再努力m
06-13 1604
# 对传入的参数视为字符串,会首先对sql语句进行预编译 举个栗子: select * from user where id = #{id},传入id值为5 那么传过来的SQL语句就是 select * from user where name = ‘5’; 2、将不会将传入的值进行预编译,select∗fromuserwherename=将不会将传入的值进行预编译,select * from ...
mybatis占位符#{} 和 ${}的区别
a201717的博客
09-17 556
mybatis 之 #{} 和 ${} 的区别 #{}表示一个占位符号,通过 #{} 可以实现 preparedStatement 向占位符中设置值,自动进行 java 类型和 jdbc 类型转换。#{} 可以有效防止 sql注入。 #{} 可以接收简单类型值或 pojo 属性值。 如果 parameterType 传输单个简单类型值,#{} 括号中可以是 value 或其它名称。 Map...
关于mybatis中#和$占位符理解,导致sql语句的条件失效
qq_41300960的博客
05-17 515
sql占位符导致sql语句报错失效的完美解答
浅谈Mybatis #和$区别以及原理
08-18
Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在Mybatis中,#和$都是占位符,但是它们...
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis中的#和$的区别
09-02
MyBatis中,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis下动态sql中##和$$的区别讲解
08-26
一个#{ }被解析为一个参数占位符?。而${ }仅仅为一个纯碎的string替换,在动态SQL解析阶段将会进行变量替换。例如,Mapper.xml中如下的SQL: select * from user where name = ${name}; 当我们传递的参数为"Jack...
Java Mybatis中的 ${ } 和 #{ }的区别使用详解
08-18
Java Mybatis 中的 ${ } 和 #{ } 是两个不同的占位符,都是用于在 Mybatis 中进行动态 SQL 语句的构建和参数传递。然而,这两个占位符在使用时有着极其重要的区别。 首先,让我们来看一个简单的示例代码。假设我们...
mybatis异常Parsing error was found in mapping #{}占位符报错解决方案
leomoon
03-03 1188
1.存在 ‘#{’ 字符串查询的sql拼接 拼接时,区分开’#’ 和’{’ 防止被识别成’#{'占位符 concat(’#’,’{’,tab.key , ‘}’) 错误示例:concat(’#{’,tab.key , ‘}’) xxxMapper.xml 代码: select * table1 t1 left join table2 t2 on t1.key = concat('#','{',t2.key , '}') 2.其他:mybatis的#{}占位符和${} 拼接符的区别
MyBatis笔记】6 - 特殊SQL的执行:不能使用#{}的场景、获取自增的主键
CherryChenieth的博客
03-01 1816
文章目录1、模糊查询2、批量删除3、动态设置表名4、添加功能获取自增的主键 视频链接:https://www.bilibili.com/video/BV1VP4y1c7j7?p=37&spm_id_from=pageDriver 接口类综合代码: public interface SQLMapper { /** * 根据用户名模糊查询用户信息 */ List<User> getUserByLike(@Param("username") String
MyBatis中的传入参数的运算问题
weixin_45752427的博客
12-01 1022
今天在写一个查询模块功能时候遇到了这个问题 <select id="getUserList" resultType="User"> select id,loginName,password,userName,sex,identityCode,email,mobile,type from easybuy_user limit #{(currentPageNo - 1) * pageSize},#{pageSize} </select> 这样写会导致报错,在网上查了一下
MyBatis中使用#{}和${}占位符传递参数的各种报错信息处理方式有哪些呢?
最新发布
weixin_68499539的博客
01-10 442
美乐蒂在本文中给大家介绍了在MyBatis中使用#{}和${}占位符传递参数时可能出现的各种报错信息,并提供了相应的解决方案。报错信息:org.apache.ibatis.exceptions.PersistenceException: ### Error querying database. Cause: org.springframework.jdbc.BadSqlGrammarException ...请确保使用的参数类型在MyBatis的类型处理器注册表中有对应的处理器。
MyBatis中如何计算数值
qq_43040108的博客
02-28 4563
MyBatis中如何计算加减乘除: 先来看一下mysql中的写法: update table set bean = (case when FLOOR(((bean / 400) * 675)) > 5000 then 5000 else FLOOR(((bean / 400) * 675)) end) where DATE_TIME = '2021-02-05' 这里的FLOOR是舍小数位,向下取整。 再来看一下MyBatis的写法: <update id="updateDe
Mybatis-占位符#{}和${}的使用说明
m0_37965811的博客
05-31 2336
1、占位符 #{}是占位符,${}是拼接符。 #{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”. ${}将传入的数据直接显示生成在sql中。如:order by ${user_id},如果传入的值是111,那么解析成sql时的值为order by 111, 如果传入的值是id,则解析成的sql为orde
mybatis入参运算
打不死的小强lee的博客
03-04 1981
mybatis想要实现入参运算,有以下两种方式 1、${} 如: select * from table1 limit ${start}+1,#{pageSize} 2、bind 如: <bind name="start" value="start+1"/> select * from table1 limit #{start},#{pageSize} 注意:#{}不能运算,因为#{}是预编译 ...
mybatis占位符的讲解
毕业势必进大厂的博客
11-05 5674
mybatis中,占位符有两个,一个是#,一个是$,这两个有什么区别,我们分别来讲解一下 1. 占位符#{} 语法:#{字符} #占位符告诉mybatis使用实际的参数值代替。并,#{…}代替sql语句的"?"。这样做更安全,更迅速,通常也是首选做法 mapper文件中 <select id="selectStudentById" parameterType="int" resultType="com.lu.entity.Student"> select id, name, email, a
Mybatis中的#{}占位符
BLWY_1124的博客
08-01 1577
Mybatis中配置SQL时,可以使用`#{}`格式的占位符来表示SQL语句中的参数,在占位符的大括号中
mybatis #,$ 的区别
07-13
具体来说,#{}会把传递进来的参数值替换成一个占位符,并且对占位符进行预编译处理,最终生成一个完整的SQL语句。而${}则直接把传递进来的参数值替换到SQL语句中,没有任何预编译处理。 举个例子,如果我们要传递一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值