MyBatis中的${}和#{}的区别

最新推荐文章于 2024-08-26 20:09:59 发布
最新推荐文章于 2024-08-26 20:09:59 发布
阅读量401 收藏
点赞数
文章标签: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JianNingGao/article/details/78936173
版权

1 、  理论区别

         $与#的区别是很大的。#为占位符,而$为字符串拼接符。 字符串拼接是将参数值以硬编码的方式直接拼接到了SQL 语句中。字符串拼接就会引发  两个问题:SQL注入问题   与没有使用预编译所导致的执行效率低下问题。 占位符的引入,解决以上两个问题。

2、 应用场景

       一般情况下,动态参数的值是由用户输入的,则不能使用拼接符$,因为有可能会出现SQL注入;若动态参数的值是由系统计算生成的,则可以使用拼接符$。但这样虽然不存在SQL 注入的风险,但仍存在执行效率问题。

3、SQL 注入

         在MyBatis 中,使用#号占位符,则后台执行 SQL 使用的为 PreparedStatement,将会防止 SQL注入。而使用$符,则为字符串拼接,使用的为 Statement,将无法防止 SQL 注入。

 

      例如,Mapper.xml中如下的 sql 语句:

             select * from user where name = #{name};  

          动态解析为:

              select * from user where name = ?;      

         一个 #{ } 被解析为一个参数占位符 ? 。
         而${ } 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换

 

  例如,Mapper.xml中如下的 sql:

        select * from user where name = ${name};
 
           当我们传递的参数为 "Jack" 时,上述 sql 的解析为:
        select * from user where name = "Jack";  
        预编译之前的 SQL 语句已经不包含变量了,完全已经是常量数据了。

    综上所得, ${ } 变量的替换阶段是在动态 SQL 解析阶段,而 #{ }变量的替换是在 DBMS 中。





Mybatis 的 ${} #{}的区别是什么
阿杰同学的博客
11-24 609
Mybatis 的 ${} #{}的区别是什么 ${} 相当于直接拼接SQL,类似于 JDBC 的 Statement 用法, String sql = "select * from table where xxx = " + xxx + " and yyy = " + yyy; 这种方式缺陷是有被 SQL 注入的风险,并且数据库每次都重新编译此SQL,因为每次都认为是一个新的 SQL。 ==#{} 相当于预编译 SQL,对应 JDBC 的 PreparedStatement,就是 ? == 占位符形
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
Mybatis的#{}和${}的区别是什么?
qq_29860591的博客
12-15 454
#{}和${}的区别是什么? 正确的答案是:#{}是预编译处理,${}是字符串替换。 (1)mybatis在处理#{}时,将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值。 (2)mybatis在处理${}时,就是把${}替换成变量的值。 (3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已...
MyBatis的#{}和${}区别、ResultMap使用、MyBatis常用注解方式、MyBatis动态SQL
fxbsdl的博客
08-26 1160
俩个元素 collection 、associationcollection:关联元素处理一对多关联例如专业与学生是一对多,专业一方配置学生集合//专业//专业名称//专业下学生集合在学生多方配置专业一方//建议在学生表关联专业,将专业信息封装到专业对象使用ResultMap组装查询结果--专业关联学生一对多查询到的多个学生放到一个集合当-->selectm.id,m.name,s.num,</select>
mybatis #{}和${}的区别是什么?
最帅程序猿的博客
01-11 366
***#{}是预编译处理,KaTeX parse error: Expected 'EOF', got '#' at position 26: …** Mybatis 在处理#̲{}时,将 sql 的#{…{}时,就是把${}替换成变量的值。 **使用#{}可以有效的防止 SQL 注入,**提高系统安全性。 ...
MyBatis #{}和${}的区别是什么?
ClearDream__的博客
06-06 89
MyBatis #{}和${}的区别是什么
mybatis #{} 以及 ${}
minzhang001的博客
10-23 1万+
动态 sql 是 mybatis 的主要特性之一,在 mapper 定义的参数传到 xml 之后,在查询之前 mybatis 对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 在下面的语句,如果 username 的值为 zhangsan,则两种方式无任何区别:select * from user where name = #{name
MyBatis ${}和 #{}的正确使用方法(千万不要乱用)
08-18
MyBatis框架,${} 和 #{} 是两种不同的参数占位符,它们的使用方式和作用有明显的区别,对于SQL语句的安全性和效率有着重要影响。 1. #{} #{} 是预编译处理的方式,也被称为参数绑定或者预处理。在处理 #{ } ...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
MyBatis使用$和#所遇到的问题及解决办法
09-01
MyBatis,$和#的使用是动态SQL的关键部分,它们决定了参数如何被处理和插入到SQL语句。下面将详细解释这两种符号的差异以及如何解决使用过程遇到的问题。 1. #{}与${}的区别: - #{ }:这是MyBatis的预...
mybatis$和#的区别
最新发布
10-25
MyBatis,`$`和`#`是两个特殊的字符,它们在动态SQL生成有重要的作用: 1. `$`: 这是MyBatis的传统方式(即JDBC预编译语句的遗留支持),在动态SQL表达式用于引用参数的值。当你在mapper XML文件直接写 `...
MyBatis#{}和${}的区别
理想主义的花终将盛开在浪漫主义的土壤里,我的热情永远不会熄灭在现实的平凡之中,我们终将上岸,阳光万里。
10-26 303
MyBatis#{}和${}的区别 #{} 是预编译处理,是占位符,${} 是字符串替换、是拼接符; MyBatis 在处理 #{} 时,将 sql 的 #{} 替换为 ?,调用 PreparedStatement 来赋值; MyBatis 在处理 ${} 时,是把 ${} 替换成变量的值,调用 Statement 来赋值; 使用 #{} 可以有效地防止 SQL 注入,提高系统安全性。 示例: #{} SELECT * FROM user WHERE name = #{name} and pass
MyBatis的#{}和${}的区别
小熊的博客
04-08 2304
MyBatis的#{}和${}的区别 #{}是预编译处理,${}是字符串替换。 详情: (1)mybatis在处理#{}时,将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值。 (2)mybatis在处理时,就是把{}时,就是把时,就是把{}替换成变量的值。 (3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输入非法参数,也不对SQL的结构产生影响,从而避免了潜在的安全风险。 (4)预编译是
#{}与${}的区别
热门推荐
weixin_44863976的博客
09-08 1万+
#{}与${}的区别 区别 1. #{} 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符;而${}仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将进行变量替换。 2. #{} 解析之后将String类型的数据自动加上引号,其他数据类型不;而${} 解析之后是什么就是什么,他不当做字符串处理。 3...
工作发狂:Mybatis $和#千万不要乱用!
Java后端技术
05-08 846
点击上方“Java后端技术”,选择“置顶或者星标”你关注的就是我关心的!作者:程序猿的内心独白开头这是一次代码优化过程发现的问题,在功能优化后发现部分数据查不到出来了,...
MyBatis #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1317
1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
mybatis的#{}与${}的区别
申振的博客
05-23 320
动态sql作为Mybatis框架的重要特征之一,在实际开发为开发人员提供了很大便利,我们需要将一系列参数传递到xml文件Mybatis对其进行动态解析。Mybatis支持一下两种动态sql的语法:#{}和${},两者的区别在于一下几方面: 1.#{}将传入参数以字符串方式处理,自动为其加双引号。 2.${}将传入参数直接显示在sql语句,所以${}一般用于传入数据库对象,例
mybatis #{} ${}
weixin_47967397的博客
02-19 148
order by 后面必须用$ order by ${} ${}
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值