Mybatis中的mapper.xml里面${} 和 #{}区别与用法

最新推荐文章于 2023-03-18 22:05:32 发布
最新推荐文章于 2023-03-18 22:05:32 发布
阅读量1.8k 收藏 7
点赞数 1
分类专栏: java 文章标签: mybatis

Mybatis 的Mapper.xml语句中parameterType向SQL语句传参有两种方式:#{}和${}

  • #{}方式能够很大程度防止sql注入。
  • $方式无法防止Sql注入。
  • $方式一般用于传入数据库对象,例如传入表名.
  • 一般能用#的就别用$.

#{}表示一个占位符即?,可以有效防止sql注入。在使用时不需要关心参数值的类型,mybatis会自动进行java类型和jdbc类型的转换。 
#{}可以接收简单类型值或pojo属性值,如果传入简单类型值,#{}括号中可以是任意名称。

${}可以将parameterType 传入的内容拼接在sql中且不进行jdbc类型转换。 
${}可以接收简单类型值或pojo属性值,如果传入简单类型值,${}括号中名称只能是value。

select * from goods 

<if test="orderArgs!=null">

    order by #{orderArgs}

</if>

结果没有任何效果。最后把 #{} 改成 ${},结果正确。

动态 SQL 是 mybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } 和 ${ } 会有不同的表现。
select * from goods order by  #{orderArgs}; 
#{} 在动态解析的时候, 会解析成一个参数标记符。就是解析之后的语句是:

select * from goods order by ?;  #{}在代入参数时,自动在参数前后加上字符串,最终形成的SQL语句就成了:

select * from goods order by "price",参数本来是列名,现在变成了一个字符串,结果自然不正确了。

那么我们使用 ${}的时候

select * from goods order by ${orderArgs}; 

${}在动态解析的时候,会将我们传入的参数当做String字符串填充到我们的语句中,就会变成下面的语句
selecxt * from goods order by price
预编译之前的 SQL 语句已经不包含变量了,完全已经是常量数据了。相当于我们普通没有变量的sql了,加了双引号,参数变成了一个字符串。
综上所得, ${ } 变量的替换阶段是在动态 SQL 解析阶段,而 #{ }变量的替换是在 DBMS 中。

对于order by排序,使用#{}将无法实现功能,应该写成如下形式:

ORDER BY ${columnName}

  另外,对于mybatis逆向工程生成的代码中,进行模糊查询调用andXxxLike()方法时,需要手动加%,如下:

CustomerExample customerExample=new CustomerExample();
        customerExample.or().andNameLike("%"+name+"%");
GoldWashing
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mapper.xml的#{}和${}
java_FF的博客
01-06 1108
MyBatis 是支持普通SQL查询,存储过程和高级映射的优秀持久层du框架。MyBatis 消除了几乎所有的JDBC代码和参数的手工设置以及结果集的检索。 1. 代码量大大减少,开发效率高 2. MyBatis相当灵活,SQL写在XML,从程序代码彻底分离,降低耦合度,便于统 一管理和优化,并可重用 3. 运行效率高 Configuration:MyBatis所有的配置信息都保存在Configuration对象之,配置文件的大部分配置都会存储到该类 SqlSession:作为MyBatis工作
MybatisMapper.xml之${}和#{}的区别
ddm
03-21 607
${}和#{}都可以动态传递参数,例如参数city_name; select * from table_name where city_name = ${city_name};或 select * from table_name where city_name = #{city_name}; 模糊查询:select * from table_name where city_name like
Mapper.xml的SQL语句的占位符${}和#{}
weixin_65837469的博客
03-18 1192
{}:预编译#{}在mybatis,最后会被解析为?,其实就是Jdbc的PreparedStatement的?占位符,它有预编译的过程,会对输入参数进行类型解析(如果入参是String类型,设置参数时会自动加上引号),可以防止SQL注入,如果parameterType属性指定的入参类型是简单类型的话(简单类型指的是8种java原始类型再加一个String),#{}的变量名可以任意,如果入参类型是pojo,比如是Student类那么#{name}
mybatismapper${} 和 #{}
weixin_41871874的博客
01-14 514
${}写在sql语句时不加   ' ' 的 #{} 写在sql时加上 ' ' 的   使用用例  &lt;insert id="save" parameterType="com.reformer.customerServiceSystem.vo.CCMsg"&gt;         insert into             msg_${tableFix} (id,msg,to_w...
mybatisxml的#和$
可乐大牛的博客
08-25 1622
1 #在预编译的时候相当于一个?占位符,而$则是字符串 select * from user where id=#{id} -> select * from user where id=? select * from user where id=${id} -> select * from user where id=“lalal” 2 #能有效防止sql注入 $适合传入一个对象 结论 尽量使用# 而不是$ ...
spring boot + mybatis +mapper.xml 项目
10-30
Spring Boot + MyBatis + Mapper.xml 项目是一个基础但实用的Java Web开发框架组合,它大大简化了传统Spring项目的配置和启动过程。本项目利用Spring Boot的自动配置特性,配合MyBatis作为持久层框架,以及Mapper....
springboot mybatis mapper.xml 配置
06-22
在Spring Boot集成MyBatis的过程,`mapper.xml`配置文件起着至关重要的作用。它用于定义SQL语句,实现数据库的CRUD操作。本示例将深入探讨如何配置`mapper.xml`,并提供新增、修改、删除、查询及分页查询的实践...
mybatis如何通过接口查找对应的mapper.xml及方法执行详解
08-30
总结来说,MyBatis通过以下步骤实现接口与mapper.xml的绑定和方法执行: 1. 扫描指定包下的接口并将其添加到`knownMappers`。 2. 当调用`SqlSession.getMapper()`时,从`knownMappers`获取接口的代理对象。 3. 使用...
mybatis Mapper.xml传参多选 字符串形式逗号分隔 AND拼接OR.rar
07-12
标题和描述所提及的问题是关于如何在Mapper.xml文件处理字符串形式的参数,这些参数由逗号分隔,并在`AND`语句拼接`OR`子句来实现动态查询。这种场景在处理用户多选过滤条件时非常常见,比如在一个搜索框,...
用java程序生成mybatismapper.xmlmapper.java文件
08-19
本文将详细讲解如何使用Java程序生成Mybatismapper.xmlmapper.java文件,以便于简化开发过程,提高代码的可维护性和效率。 首先,理解mapper.xmlmapper.java的作用是关键。mapper.xml文件Mybatis的SQL...
MybatisMapper.xml的${}与#{}的区别
One_castle的博客
04-15 1562
MybatisMapper.xml的${}与#{}的区别 #{}是预编译处理,而${}则是字符串替换 Mybatis在处理#{}时,会将sql的#{}替换成?号,会自动调用PreparedStatement的set方法来进行赋值。 Mybatis在处理时,其实就是将{}时,其实就是将时,其实就是将{}直接替换成变量的值。(有sql注入的风险) 使用#{}可以有效的防止sql注入,可以提高系统安全性 ${}这种写法参数默认是传字符串 #{}则可以取Long、Integer之类 ...
Mybatis映射文件Mapper.xml#和$的区别
MyCurlingStick的博客
07-19 1176
关于Mapper.xml映射语句什么时候用"#“什么时候用”$",已经有很多人做过总结,我最近在写项目时仍然遇到了一点问题,所以在这结合项目文档和案例,再做一下总结,也作为个人的笔记,在这再总结下。 一、先看一下在mybatis api关于"#“和”$“的描述 1、”#" 图 1来自于mybatis api “Mapper XML文件”章节, 简单来说"#“在编译时使用”?"占位符标记...
Mybatis1:测试类,接口,mapper.xml之间的调用关系
weixin_47414034的博客
05-31 442
也就是说,测试类调用接口里面的方法,然后通过方法名找到mapper.xml文件id等于这个方法名的标签,执行这个标签里面的sql语句
Mybatis源码分析 7】mapper.xml获取参数的两种方式源码分析:${}和#{},两种传参方式的差别
Elevenoo的博客
05-31 639
Mybatis源码分析 6】XMLConfigBuilder将Mybatis全局配置文件.xml设置的节点提取赋给Configuration对象讲到SqlSessionFactoryBuilder创建SqlSessionFactory对象时, SqlSessionFactory factory = new SqlSessionFactoryBuilder().build(resource); 将mybatis的全局配置文件的11个节点提取并处理后赋给Configuration对象,其就有map
MyBatisxml #和$的区别
梅林's hat
11-11 1531
1. #是将传入的值当做字符串的形式 select id,name,age from student where id =#{id} 当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1 2 $是将传入的数据直接显示生成sql语句 select id,name,age from student where id =${id} 当前端把id值1,传入到后台的时候,就相当于 select i...
MybatisxxxMapper.xml文件#{}和${}取值的区别
qyy_123456_qyy的博客
11-04 1027
一、一句话总结 #{} 是编译好SQL语句再进行取值和赋值 ${} 是先进行取值赋值后再编译生成sql语句 二、两者比较 #{}这种方式很大程度上能够防止sql注入,原因见下面例子 ${}方式无法防止sql注入 一般能用#{}的就不要用${} MyBatis排序时使用order by 动态参数时需要注意,用${}而不是#{} 可以用${}传一个固定不变的字符串,不会转义 三、简单例...
mybatis #{}和${}的区别传参、基本语法
wutongyuWxc的博客
11-28 4363
1 #{}和${}的区别、及注入问题 (1) 区别: 首先清楚一点,动态 SQL 是 mybatis 的强大特性之一,在 mapper 定义的参数传到 xml 之后,在查询之前 mybatis 会对其进行动态解析,#{} 和 ${} 在预编译的处理是不一样的: 例如:select * from t_user where userName = #{name}; #{...
mybatis学习笔记(5):Mapper XML参数接收#{}和${}的区别
YellowStar的博客
06-30 2878
 动态 sql 是 mybatis 的主要特性之一,在 mapper 定义的参数传到 xml 之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 在下面的语句,如果 username 的值为 zhangsan,则两种方式无任何区别: select * from user where name = #{na...
mybatismapper.xml写update
最新发布
06-28
### 回答1: Mybatismapper.xml文件可以用来编写update语句,具体步骤如下: 1. 在mapper.xml文件添加update标签,指定id属性和parameterType属性,如下所示: <update id="updateUser" parameterType="com.example.User"> 2. 在update标签编写SQL语句,使用#{ }占位符来引用Java对象的属性,如下所示: update user set name=#{name}, age=#{age} where id=#{id} 3. 在Java代码调用SqlSession的update方法来执行SQL语句,如下所示: User user = new User(); user.setId(1); user.setName("Tom"); user.setAge(20); sqlSession.update("updateUser", user); 以上就是在Mybatis编写update语句的基本步骤。需要注意的是,update语句的参数类型必须与Java对象类型一致,否则会抛出异常。同时,update语句的占位符数量必须与Java对象的属性数量一致,否则也会抛出异常。 ### 回答2: MyBatis是一种轻量级的ORM(对象关系映射)框架,它可以简单地将数据库表的数据映射到Java对象,并且可以使用XML或注解来定义应用程序的SQL语句。在这篇文章,我将向你展示如何在MyBatis使用mapper.xml来编写update。 update语句用于更新数据库的记录。在MyBatis,我们可以使用mapper.xml文件来编写update语句。下面是编写一个update语句的基本步骤: 1. 编写Mapper接口 在Mapper接口定义一个方法,方法名可以随意取。在这个方法,我们可以定义SQL语句的参数和返回值。 ```java public interface UserMapper { public int updateUser(User user); } ``` 2. 编写Mapper.xmlMapper.xml文件定义SQL语句并与Mapper接口的方法进行映射。 ```xml <mapper namespace="UserMapper"> <update id="updateUser" parameterType="User"> UPDATE users SET username = #{username}, password = #{password}, email = #{email} WHERE id = #{id} </update> </mapper> ``` 3. 调用Mapper接口方法 在Java程序调用Mapper接口定义的方法,将要更新的数据作为参数传递给方法。 ```java User user = new User(); user.setId(1001); user.setUsername("test"); user.setPassword("test123"); user.setEmail("test@example.com"); UserMapper userMapper = sqlSession.getMapper(UserMapper.class); int result = userMapper.updateUser(user); ``` 以上就是在MyBatis使用mapper.xml来编写update语句的基本步骤。总之,MyBatis非常方便、灵活,可以让我们轻松地使用SQL语句进行数据库操作,并且mapper.xml可以帮助我们更加清晰地管理SQL语句。 ### 回答3: Mybatis是一种Java持久化框架,是一个优秀的ORM框架,将数据库操作转化为Java对象操作,使得Java程序员更容易地访问数据库和处理数据。Mybatis的优势在于灵活性和可控性,mapper.xml就是MybatisMapper接口的配置文件之一,用于映射SQL语句。 在mapper.xml编写update语句时,我们可以使用update元素来定义一个更新操作,其包括一个id属性,用于唯一标识此操作,以及一个resultType属性,用于指定应该返回的对象类型。 对于update元素,我们需要定义一个SQL语句,可以使用set元素来设置需要更新的列名和对应的值,通常使用#{propertyName}语法来引用Java对象的属性。另外,我们还可以使用where元素来指定更新的条件,同样也可以使用#{propertyName}语法来引用Java对象的属性。 在编写update语句的过程,需要注意以下几点: 1.语法正确性。update语句的SQL语法需要正确,否则无法执行更新操作。 2.更新条件。为了避免更新所有记录,需要设置更新条件。 3.参数绑定。在SQL语句需要使用#{}来引用Java对象的属性,同时必须将Java对象传递给update方法参数。 4.事务处理。更新操作通常需要在事务执行,以保证数据的一致性,因此需在调用update方法时将事务管理对象传递给方法参数。 下面是一个简单的例子:假设我们有一个表user,其包含三个字段:id,name和age。我们需要更新该表的age字段,更新条件为id字段等于特定值。在mapper.xml,可以这样编写update语句: <update id="updateUserAge" parameterType="com.example.User"> UPDATE user <set> age = #{age} </set> WHERE id = #{id} </update> 在该例子,我们定义了一个id为updateUserAge的update元素,对应的SQL语句是UPDATE user SET age = #{age} WHERE id = #{id},该语句用于更新user表的age字段,更新条件为等于指定的id值。 要调用该update语句,需要编写一个对应的Mapper接口,方法名必须与mapper.xml定义的id一致: public interface UserMapper { void updateUserAge(User user); } 完整的Mapper接口实现如下: public class UserMapperImpl implements UserMapper { private SqlSession sqlSession; public UserMapperImpl(SqlSession sqlSession) { this.sqlSession = sqlSession; } @Override public void updateUserAge(User user) { sqlSession.update("updateUserAge", user); } } 在调用updateUserAge方法时,我们需要传递一个User对象作为参数,该对象包含需要更新的字段信息。同时,我们需要保证该方法在事务执行,使用TransactionManager等事务管理对象即可实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值