MyBatis mapper文件中的变量引用方式#{}与${}的差别

最新推荐文章于 2021-03-01 20:56:03 发布
最新推荐文章于 2021-03-01 20:56:03 发布
阅读量384 收藏
点赞数
分类专栏: mybatis 文章标签: mybatis select sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hellokittyc/article/details/78280444
版权

使用#{}传入参数,sql语句解析时会加上“,当成字符串去解析
例如:select * from student where id=#{id}
相当于 select * from student where id="1001"

使用${}传入参数,sql解析时什么都不会加,直接生成sql语句
例如:select * from student where id=${id}
相当于 select * from student where id=1001

使用#{}可以防止sql注入也就是语句的拼接。
${}使用在order by排序语句中 通常这些使用$的字符串是基本上不会变的。
能用#就尽量不要用${}原因是:

会引起sql注入,${}会直接参与sql编译,影响sql语句的预编译。。
我总结的两者的根本区别就是一个带引号一个不带引号。。

例子:

select * from student where name=#{name}
select * from student where name=${name}

两者编译完后都会变成:select * from student where name="zs"

但是两者在预编译处理时的步骤是不一样的

使用#{}在预编译处理时是把参数部分用一个占位符?来代替变成:

select * from student where name=?

而使用${}则是简单的字符串的替换,在动态解析的阶段会被解析成:

selecct * from student where name="zs"

{}的参数替换是发生在DBMS中,而${}则是发生在动态解析时。

如果表明变为user;delete user;

那么 select * from ${tableName} where name=#{name}

就会变成 select * from user; delete user 两个操作 先查询表 然后删除表,这样就会对数据库造成损伤,所以能用#{}就尽量用#{}。。。

Hellokittyc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis下动态sql##$$的区别讲解
08-26
Mybatis,使用Mapper.xml文件来定义SQL语句,并使用#{ }和${ }来传递参数。那么,在Mybatis下动态sql##$$的区别是什么呢? 首先,我们需要了解的是,Mybatis在对SQL语句进行预编译之前,会对SQL语句进行...
Mabitis#$符号区别及用法介绍
08-31
MyBatis,`#`和`$`符号在SQL动态语句扮演着不同角色,它们的主要区别和用法如下: 一、`#`与`$`的区别 1. `#{}`:MyBatis将`#{}`视为PreparedStatement的参数标记符。当SQL语句的`#{}`被解析时,它会被...
Mybatismapper文件$#的区别
weixin_30871905的博客
12-13 156
一般来说,我们使用mybatis generator来生成mapper.xml文件时,会生成一些增删改查的文件,这些文件需要传入一些参数,传参数的时候,我们会注意到,参数的大括号外面,有两种符号,一种是#,一种是$。这两种符号有什么区别呢? SELECT * FROM employee WHERE name=#{name} SELECT * FROM employee ORDER BY ${s...
mybatis#$的区别
热门推荐
灰太狼
03-22 2万+
mybatis接口mapper文件引用传入的参数是通过#{param}或者${param}来使用的。1.数据类型匹配#:会进行预编译,而且进行类型匹配$:不进行数据类型匹配2.实现方式 #:用于变量替换$:实质上是字符串拼接3.#$的使用场景(1)变量的传递,必须使用#,使用#{}就等于使用了PrepareStatement这种占位符的形式,提高效率。可以防止sql注入等等问题。#方式一般用...
Mybatis $#的区别
帆_5021的博客
11-12 310
1 # 是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id =‘1’. 2 $ 是将传入的数据直接显示生成sql语句,eg:select id,name,age from student where id =${id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age
Mybatis Mapper文件$#的区别
Lamar's Blog
12-22 1947
Mybatis Mapper文件$#的区别最近在做一个很简单的更新api接口时,遇到了一个错误。这个错误虽然让我郁闷,因为当程序更新我本地数据库的时候是能正常执行的,但是其他同事对接的时候他本地数据库时会报错(数据库结构一模一样)。 先查测试数据 假设这个api接口需要传递一个id的参数,我测试的时候传的是123,而其他同事传的是123f。我的能成功,他的不行,刚开始在想会不会是他动了数据库
Mybatis-mapper文件$#的区别
迷路剑客个人博客
04-03 1450
Mybatis-mapper文件$#的区别 0x01 # 1.1 原理 默认情况下,是用#{}会被预编译处理,会使得Mybatis创建PreparedStatement,当做占位符,参数化输入的参数,就和在sql内使用?一样。 mybatis在处理#{}时,会将sql#{}替换为?,调用PreparedStatement的set方法来赋值。那么,一些特殊字符就会在真正执行前被转义。 比如有...
MyBatis Mapper代理方式
最新发布
09-23
MyBatis Mapper 代理方式是通过使用 SqlSessionFactoryBuilder 类的 build 方法来生成的,该方法将读取 MyBatis 的配置文件,例如 SqlMapConfig.xml,然后生成一个 SqlSessionFactory 对象,该对象可以用来...
MyBatis#号与美元符号的区别
08-31
MyBatis框架#号和美元符号($)在动态SQL的使用有着显著的区别,这些差异直接影响到SQL语句的预编译、类型匹配以及安全性。 首先,#{}是MyBatis的预编译占位符。当使用#{变量名}时,MyBatis会进行预编译处理...
mybatis-plus生成mapper扩展文件的方法
09-07
MyBatis-Plus,生成Mapper扩展文件的主要目的是为了在保持灵活性的同时,避免因数据库表结构的改动而频繁修改已有的Mapper文件MyBatis-Plus是一个强大的MyBatis扩展,它提供了许多便捷的功能,包括自动化的...
mybatis #$的区别与用法
p2510899959的博客
03-06 1357
随着开发团队转投Google Code旗下,ibatis3.x正式更名为Mybatis 我在开发过程,我主要是喜欢mybatis可以让开发者灵活的编写sql语句。其动态变量算是用的最多的了。 mybatis支持两种动态的往sql语句嵌入变量方式,一种是用#,另一种是$#appId#,使用#,是使用预编译处理,mybatis会先用?占位(等同于prepareStatement),再
mybatis配置文件#$区别
美好的未来在于把握今天
04-11 151
1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'. 2 $是将传入的数据直接显示生成sql语句,eg:select id,name,age from student wher...
MyBatis Mapper映射里的 ${} 和 #{} 的区别
GuessHat的博客
09-15 279
MyBatis Mapper映射里的 ${} 和 #{} 的区别 两者都可以出现在Mapper映射的sql语句,主要的区别是: ${}用来做占位,实际的sql语句在发送时是将${}内的参数注入到sql语句然后统一编译,带来的风险是如果参数传递的有问题就会影响整个sql语句,例如: select * from book where id =${} and name = "张三", 传递的参数是’1#'时,#就会将后面的name属性注释掉,无法正确查询,这样就会有sql注入的风险 #{}则是先进行sql
返回自增id的id值 #{} 和${}的区别 sql语句的比较运算符
weixin_52296931的博客
03-01 805
返回自增id的id值 新增用户的是偶我们都是通过主键自增来完成的,所以不知道怎么查看增加的id值,我们可以喜阳光sql语句来完成返回邢增id值得操作 直接在接口对应的xml文件下面写代码,在mapper 里面 <!--添加用户信息--> <insert id="addUser" parameterType="user" > <!--使用内部的标签selectKey 获取新增用户的id值 resultType 返回值类型指定为int
MybatisxxxMapper.xml文件#{}和${}取值的区别
qyy_123456_qyy的博客
11-04 1027
一、一句话总结 #{} 是编译好SQL语句再进行取值和赋值 ${} 是先进行取值赋值后再编译生成sql语句 二、两者比较 #{}这种方式很大程度上能够防止sql注入,原因见下面例子 ${}方式无法防止sql注入 一般能用#{}的就不要用${} MyBatis排序时使用order by 动态参数时需要注意,用${}而不是#{} 可以用${}传一个固定不变的字符串,不会转义 三、简单例...
Mybatis映射文件Mapper.xml#$的区别
a1257427517的专栏
12-06 9056
关于Mapper.xml映射语句什么时候用"#"什么时候用"$",已经有很多人做过总结,我最近在写项目时仍然遇到了一点问题,所以在这里结合项目文档和案例,再做一下总结,也作为个人的笔记,在这里再总结下。 一、先看一下在mybatis api关于"#"和"$"的描述 1、"#" 图 1来自于mybatis api “Mapper XML文件”章节,   简单来说"#"在编译时使用&
Mapper的映射文件#{}和${}的理解
qq_43232869的博客
12-22 496
#{}传递参数的时候参数位置会先用占位符?占位,相当于preparestatement,在执行的时候参数会被双引号包含 ${}则完全不一样,它是直接将参数放在SQL语句的相关位置,而且参数没有引号存在SQL语句的风险,因参数没有双引号的直接带入,仍然有存在的必要 ...
mybatis#$在使用上有哪些区别
hefk688的博客
09-08 4151
mybatis#$的区别是什么 1、传入的参数在SQL显示不同 #传入的参数在SQL显示为字符串(当成一个字符串),会对自动传入的数据加一个双引号。 例:使用以下SQL select id,name,age from student where id =#{id} 当我们传递的参数id为 "1" 时,上述 sql 的解析为: select id,name,age from student where id ="1" $传入的参数在SqL直接显示为传入的值 例:使用以下SQL select id,n
mybatis mapper防sql注入的原理
05-05
MyBatis Mapper 防止 SQL 注入的原理与其他 ORM 框架类似,主要是通过预编译 SQL 语句和参数化查询来实现的。 具体来说,当我们在 Mapper 书写 SQL 语句时,MyBatis 会将 SQL 语句进行预编译,即将 SQL 语句的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值