Mybatis—#{}与${}源码上的区别

最新推荐文章于 2024-08-30 18:40:43 发布
最新推荐文章于 2024-08-30 18:40:43 发布
阅读量131 收藏
点赞数
分类专栏: mybatis 文章标签: mybatis java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jas000/article/details/129114851
版权

  Mybatis中存在#{}和${}两种占位符,二则最大的区别就是,使用#{}参数占位符时占位符内容会被替换成“?”,然后在SQL执行时通过PreparedStatement对象的setter方法为参数占位符赋值;${}参数占位符在SQL解析的时候就会直接替换成对应的值。

${}解析过程

  当前动态SQL配置中存在${}参数占位符时,Mybaits会使用TextSqlNode来描述对应的SQL节点,并且在调用TextSqlNode#apply方法时完成动态SQL的解析。即${}参数占位符的解析是在TextSqlNode类的apply方法中完成的。

public class TextSqlNode implements SqlNode {
  private final String text;
  private final Pattern injectionFilter;

  // 省略部分代码

  @Override
  public boolean apply(DynamicContext context) {
    // 构造GenericTokenParser类用于解析SQL配置中${}内容 
    GenericTokenParser parser = createParser(
        new BindingTokenParser(context, injectionFilter));
    context.appendSql(parser.parse(text));
    return true;
  }

  private GenericTokenParser createParser(TokenHandler handler) {
    return new GenericTokenParser("${", "}", handler);
  }  
}

如上代码所示TextSqlNode#apply中:

  • 首先,通过调用内部createParser私有方法来构造一个GenericTokenParser对象,用于解析动态SQL配置中的${}参数占位符,通过“new GenericTokenParser(“${”, “}”, handler)”构造方法指定需要解析的${}参数占位符。
  • 然后,调用GenericTokenParser#parse方法来解析当前动态SQL配置文件,其核心目标就是遍历获得所有${}参数占位符,再通过BindingTokenParser#handleToken方法替换为真实的传入值。
private static class BindingTokenParser implements TokenHandler {

    private DynamicContext context;
    private Pattern injectionFilter;

    @Override
    public String handleToken(String content) {
      Object parameter = context.getBindings().get("_parameter");
      if (parameter == null) {
        context.getBindings().put("value", null);
      } else if (SimpleTypeRegistry.isSimpleType(parameter.getClass())) {
        context.getBindings().put("value", parameter);
      }
      Object value = OgnlCache.getValue(content, context.getBindings());
      String srtValue = value == null ? "" : String.valueOf(value); // issue #274 return "" instead of "null"
      checkInjection(srtValue);
      return srtValue;
    }
}

#{}解析过程

  Mybatis会将SQL配置中的“#{}”替换为“?”,然后使用PreparedStatement对象与数据库进行交互,最终在SQL真正执行的时候将#{}参数占位符替换为真实的值。
  关于SQL的解析过程可参考Mybatis—解析SQL配置

乐只乐之
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
源码的角度回答“mybatis的#{} 和${}有什么区别”?
唐欢
06-29 102
源码的角度回答“mybatis的#{} 和${}有什么区别
关于Mybatis的$和#,你真的知道他们的细节吗?
chutan5573的博客
07-09 412
前言 在JDBC中,主要使用的是两种语句,一种是支持参数化和预编译的PrepareStatement,能够支持原生的Sql,也支持设置占位符的方式,参数化输入的参数,防止Sql注入,一种是支持原生Sql的Statement,有Sql注入的风险。 在使用Mybatis进行开发过程中,隐藏了底层具...
MyBatis中#{}和${}的区别
m0_67683346的博客
02-28 4809
MyBatis中#{}和${}的区别
源码讲解mybatis中#{}和${}的区别
Bravo
01-09 639
前言 看到这个标题读者们会觉得作者在老生常谈。这个面试中问烂了的问题,在百度一搜一大把答案,然而作者发现这些答案无非是如下: #{}是预编译处理,${}是字符串替换 Mybatis在处理#{}时,会将sql中的#{}替换为?号,使用sql预编译处理 Mybatis在处理时,就是把${}替换成变量的值 使用#{}可以有效的防止SQL注入,提高系统安全性 等等… 当然这些答案言简意赅,通俗易懂,但...
Mybatis #和$区别以及原理
热门推荐
张井天的博客
06-04 4万+
总结: #可以防止Sql 注入,它会将所有传入的参数作为一个字符串来处理。 $ 则将传入的参数拼接到Sql上去执行,一般用于表名和字段名参数,$ 所对应的参数应该由服务器端提供,前端可以用参数进行选择,避免 Sql 注入的风险 为什么? 为什么 # 和 $ 的作用不同,Mybatis 对他们做了哪些惨无人道的处理,我们看一下下面的例子,并追踪一下源码总结。 示例代码: 创建一个 tb...
MyBatis使用#和$操作符模拟sql注入
smart_an的专栏
05-06 337
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
Mybatis下动态sql中##和$$的区别讲解
08-26
Mybatis下动态sql中##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助...综上所得,在Mybatis下动态sql中##和$$的区别是非常重要的,correctly使用#{ }和${ }可以避免SQL注入问题,并提高应用程序的安全性。
mybatis3.x源码深度解析与最佳实践.pdf
09-12
MyBatis 3.x 源码深度解析与最佳实践 MyBatis 是当前最流行的 Java 持久层框架之一,其通过 XML 配置的方式消除了绝大部分 JDBC 重复代码以及参数的设置,结果集的映射。为了更好地学习和理解 MyBatis 背后的设计...
mybatis 3.x源码深度解析与最佳实践.html
11-01
mybatis 3.x源码深度解析与最佳实践.html
MyBatis-- 浅谈SQL中 #、$参数的动态解析过程
JustinQin
06-13 1505
目录 一、学习背景 二、语句过程(Mybatis) 三、过程分析 3.1 sql动态解析 3.2sql 预编译 3.3 DBMS(执行) 四、sql字符串拼接 4.1 ${}写法 4.2 #{}写法 五、引号问题 5.1 #{}带引号 5.2 ${}不带引号 六、sql注入问题 实例1:字段名注入 实例2:表名注入 七、总结 学习资料 引号说明 一、学习背景...
Mybatis 源码探究 (4) 将sql 语句中的#{id} 替换成 ‘?
07-15 903
Mybatis 源码探究 (4) 将sql 语句中的#{id} 替换成 '? 出于好奇,然后就有了这篇文章啦。 源码给我的感觉,是一座大山的感觉。曲曲折折的路很多,点进去就有可能出不来。 不过慢慢看下来,收货是有的,对一些理解更为深刻了,而且越来越觉得数据结构是真的真的重要,底层的类,就没有不用到数据结构的。 传进来的参数text是 select t_user.id,t_user.username,t_user.password from t_user where t_user.id=#{id} 这里需
mybatis中${}和#{}源码分析
weixin_43401380的博客
01-16 1584
源码视角搞清楚为什么#{}可以防止sql注入
MybatisPlus的LambdaQueryWrapper用法
2301_79693537的博客
08-21 1822
【代码】MybatisPlus的LambdaQueryWrapper用法。
Java基础(6)- Java代码笔记3
最新发布
weixin_47062560的博客
08-30 569
数据类型[][] 数组名 = new 数据类型[m][n]数据类型 数组名[][] = new 数据类型[m][n]数据类型[] 数组名[] = new 数据类型[m][n]m:代表二维数组长度n:代表二维数组中每个一维数组的长度。
启动Application 报错:no mapping for GET /(已解决)
qq_3512323979的博客
08-26 7088
no mapping for GET /因为我使用的是框架嘛,然后生成了一个SpringBoot项目后,resources下面就会有一个static的类,用于存放静态资源类,后面我把静态资源放在里面,但是启动启动类后,报错一直匹配不到。: 正常的话,我们使用SpringBoot框架,他会给我们提供许多便利,包括静态资源的自动服务,默认的话,他会去。报这个错可能还有其他原因,我的是因为这个,大家可以根据日志信息一步步检查,肯定可以解决的!类并覆盖其方法时,就会失去静态资源的自动服务
[C++规范] 访问类成员变量的方式:直接访问还是通过成员函数访问?
Loewen丶的小窝
08-26 7574
在面向对象编程(OOP)中,通过成员函数(如`ME_HardwareTypeEnum Type() const;` 和 `int Id() const;`)来访问类的私有或受保护成员(如`m_hardwareType` 和 `m_id`),而不是直接通过公共成员访问,是一种更好的做法。
操作系统原子操作
zzt_is_me的博客
08-28 5093
所谓的原子操作就是不可被拆分的操作,对于多线程对全局变量进行操作时,就再也不用再线程锁了,和pthread_mutex_t保护作用是一样的,也是线程安全的,有些编译器在使用时需要加-march=i686编译参数。2、type只能是整数相关的类型,浮点型和自定义类型无法使用。功能:把value赋值给*ptr,并返回*ptr的旧值。功能:以上操作返回的是*ptr与value计算后的值。使用原子操作实现一个线程安全的无锁队列。1、该功能并不通用,有些编译器不支持。功能:以上操作返回的是*ptr的旧值。
"Mybatis缓存配置与源码分析详解
Mybatis是一款流行的Java持久化框架,它通过提供ORM(对象关系映射)的功能,将Java对象与数据库表之间建立起映射关系,方便开发者在应用程序中对数据库进行操作。其中一个重要的特性就是缓存,它可以提高数据库查询...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

乐只乐之

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值