#{}和${}的区别

已于 2023-07-15 20:45:08 修改
阅读量109 收藏
点赞数 1
文章标签: java mybatis sql
于 2023-07-15 20:37:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JackTian_/article/details/131743620
版权

在使用mybatis的时候我们会使用到#{}和${}这两个符号来为sql语句传参数

那么这两者有什么区别呢?

1.#{}是预编译处理,是占位符,${}是字符串替换,是拼接符

2.Mybatis在处理#{}的时候会将sql中的#{}替换成?号,调用PreparedStatement来赋值

如:select * from user where name = #{userName};设userName=tjh
看日志我们可以看到解析时将#{userName}替换成了 ?
select * from user where name = ?;
然后再把tjh放进去,外面加上单引号

3.Mybatis在处理 的时候就是把 {}的时候就是把 的时候就是把{}替换成变量的值,调用Statement来赋值

如:select * from user where name = #{userName};设userName=tjh
看日志可以发现就是直接把值拼接上去了
select * from user where name = tjh;
这极有可能发生sql注入;

4.#{}的变量替换是在DBMS中、变量替换后,#{}对应的变量自动加上单引号
5.${}的变量替换实在DBMS外、变量替换后, ${}对应的变量不会加上单引号
6.使用#{}可以有效的防止sql注入,提高系统的安全性

下面举一个简单的sql注入问题:
设数据库的user表中用户的userName为:tjh, password为:123,
用户登录时,当我们用${}进行查询时:

select count(*) from user where userName = ${} and password = ${}

这显示可以进行正常的登录,但是当有人不知道账号的密码,恶意登录时,可以这样做:

在这里插入图片描述
这时,实际执行的sql语句是:

select count(*) from user where userName = 'tjh' and password = 1 or 1 = 1

依然可以登录成功,这就是sql注入最简单的例子,但是当使用#{}时,会自动将输入的入参加上单引号,就不会发生上面的情况。
参考自:https://blog.csdn.net/m0_53611007/article/details/120955414

大格橘
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
#{} 和 ${} 的区别--详细
03-26 3万+
#{}和${}这两个语法是为了动态传递参数而存在的,是Mybatis实现动态SQL的基础,总体上他们的作用是一致的(为了动态传参),但是在编译过程、是否自动加单引号、安全性、使用场景等方面有很多不同,下面详细比较两者间的区别: 一、区别汇总 1.编译过程 #{} 是 占位符 :动态解析 ->预编译-> 执行 ${} 是 拼接符 :动态解析 -> 编译-&......
Mabitis中的#与$符号区别及用法介绍
08-31
主要介绍了Mabitis中的#与$符号区别,需要的朋友可以参考下
#{}和{}的区别
weixin_55555593的博客
06-08 1686
mybatis中#{}和{}的区别
#{}和{}的区别
weixin_44451005的博客
10-14 3582
实例: #{}的情况: select name form student where age=#{studentAge}; 参数studentAge=18 编译后 select name form student where age=?; ${}的情况: select name form student where age=${studentAge}; 参数studentAge=18 编译后 select name form student where age=18; 说明: 由上面的实例可见 1.
spring项目中sql语句:#{}与{}的使用
m0_46043168的博客
10-07 1256
首先要了解两者区别: select * from user where name = #{name}被解析为select * from user where name = ? 可以看到#{}是作为一个参数占位符被使用。 而{}则是直接字符拼接: select * from user where name = ${name}; 当我们传递参数“sprite”时,sql会解析为:select * from user where name = "sprite"; 下面有两个实例:
MyBatisMyBatis中#{}与{}的区别
AloneYueCSDN
11-08 2821
文章目录mybatis中#{}与{}的区别 mybatis中#{}与{}的区别 #{} 是预编译处理,像传进来的数据会加个" "(#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号)与JDBC一样创建prearedStatement参数占位符并安全设置参数(就像使用 ? 一样),安全迅速,转义字符,不会有SQL注入问题 1.${} 就是字符串替换。直接替换掉占位符。$方式一般用于传入数据库对象或固定变量,例如传入表名,例如字段名 2.使用 ${} 的话会导致 sql 注入。什么是 SQ
浅谈Mybatis #和$区别以及原理
08-18
主要介绍了浅谈Mybatis #和$区别以及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
浅谈mybatis中的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis中的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
主要介绍了Mybatis中#{}和${}传参的区别及#和$的区别小结 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
Mybatis{}域#{}的区别
weixin_71307869的博客
06-20 1106
#{}是预编译处理,${}是字符串替换。 详情:(1)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值。(2)mybatis在处理时 , 就 是 把 {}时,就是把时,就是把{}替换成变量的值。(3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输入非法参数,也不会对SQL的结构产生影响,从而避免了潜在的安全风险。(4)预编译是提前对SQL语句进行预编译,而其后注入
Mybatis中#{}与{}的区别与联系
最新发布
qq_44788380的博客
08-27 320
Mybatis中#{}与{}的区别与联系
#{}和${}
m1234ilu的博客
11-06 713
#{}表示一个占位符号,通过#{}可以实现preparedStatement向占位符中设置值,自动进行java类型和jdbc类型转换。#{}可以有效防止sql注入。 #{}可以接收简单类型值或pojo属性值。 如果parameterType传输单个简单类型值,#{}括号中可以是value或其它名称。 ${}表示拼接sql串,通过${}可以将parameterType 传入的内容拼接在sql中且不...
#{}与${}的区别
你好,摆渡人的博客
06-28 192
{}与${}的区别
#{}与${}的区别详解
liugw_768的博客
12-14 1823
动态 sqlmybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 在下面的语句中,如果 username 的值为 zhangsan,则两种方式无任何区别: select * from user where na...
Mybatis#{}和${}区别
ly10228的博客
03-15 277
#{}表示一个占位符,向占位符输入参数,mybatis自动进行java类型和jdbc类型的转换。程序员不需要考虑参数的类型,比如:传入字符串,mybatis最终拼接好的sql就是参数两边加单引号。#{}接收pojo数据,可以使用OGNL解析出pojo的属性值${}表示sql的拼接,通过${}接收参数,将参数的内容不加任何修饰拼接在sql中。${}也可以接收pojo数据,可以使用OGNL解析出poj...
Mybatis中的#{}和${}区别
shenzhou_yh的博客
12-09 324
昨天在项目开发过程中,遇到一个问题,Mybatis绑定变量时,一个ID没有被加上单引号,导致程序报错,最后是发现本该使用#{}的,错用成了{}。所以今天记录一下,算是回顾一下知识点了。 使用场景分析 #{} 1、采用预编译的方式进行传值,使用? 作为占位符,可以有效的防止sql注入问题。样例如下: ==> Preparing:select count(1) from tb_custom...
mybatis中#{}和${}的区别!!!重点
liangweihao的博客
12-10 163
mybatis中#{}和${}的区别
MyBatis的#和$区别
04-08
MyBatis是一种Java持久化框架,它可以将SQL语句和Java代码进行分离,从而简化开发过程。它支持多种数据库,包括关系型数据库和NoSQL数据库,同时还提供了一些高级特性,如一级缓存、二级缓存、延迟加载等。MyBatis...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大格橘

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值