Mybatis中的#{}和${}格式的占位符理解

最新推荐文章于 2024-08-26 20:09:59 发布
最新推荐文章于 2024-08-26 20:09:59 发布
阅读量394 收藏
点赞数
文章标签: mybatis sql mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/L315_325/article/details/127378882
版权

在使用Mybatis时,在SQL语句中的参数,可以使用#{}${}格式的占位符。

当配置的SQL语句如下时:

SELECT
    id,name
FROM
    mySQL
WHERE
    id=#{id}

以上SQL语句中的参数,无论使用#{}还是${},执行效果完全相同。

当配置的SQL语句如下时:

SELECT
    id,name
FROM
    mySQL
WHERE
    name=#{name}

以上SQL语句中的参数,使用#{}格式的占位符时可以正常执行,使用${}格式的占位符将执行出错, 错误信息例如:

java.sql.SQLSyntaxErrorException: Unknown column 'luo' in 'where clause'
; bad SQL grammar []; nested exception is java.sql.SQLSyntaxErrorException: Unknown column 'luo' in 'where clause'

在SQL语句中,除了关键字、数值、特定位置的字符或字符串以外,只要没有使用特殊符号框住,SQL语句中的其它内容都会被视为“字段名”。

在使用Mybatis时,如果SQL语句中的参数使用#{}格式的占位符,会进行预编译的处理;如果使用的是${}格式的占位符,则不会预编译。

提示:计算机能够直接识别并执行的只有机器语言,即二进制语言,所有其它编程语言编写的源代码都需要经过编译、解释,转换成机制语言才可以被识别并执行。在执行编译之前,通常都还有词法分析、语义分析等过程。由于语义分析是在编译之前执行的,所以,一旦执行到了编译,则SQL语句的“意思”不会再发生变化!

以上面SQL语句为例,由于使用的是#{}格式的占位符,则#{name}会被识别成参数,经过预编译(先编译,再传值,再执行)处理后,无论在此处传入什么值,都会被认为是参数,语义不会发生变化!

如果使用的是${}格式的占位符,则会先将参数值代入到SQL语句中,然后再执行编译!

所以,使用#{}格式的占位符,不必关心参数值的数据类型问题,并且没有SQL注入的风险。因为在编译之前就已经确定了此SQL语句的语义,无论传的值是什么样的,语义都不会改变!但是,这种格式的占位符只能表示某个值,不能表示SQL语句中的其它部分!

使用${}格式的占位符,需要关心参数值的数据类型问题,如果参数的值是字符串类型的,必须在值的两侧添加单引号,这种做法存在SQL注入的风险,因为传入的参数值可能会改变语义!需要注意,这种格式的占位符可以表示SQL语句中的任何片段!

另外,对于SQL注入,应该有正确的认识,不需要盲目拒绝!

L315_325
关注
Mybatis#{}和${}的用法
li_w_ch的博客
11-17 1万+
1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。 比如, select * from student where student_name = #{studentName} 如果传入的值为xiaoming,那么解析成sql的值为student_name="xioming"。 2、${}将传入的数据直接显示生成在sql。 如 : select ${fieldNmae} from student where student_age = 18 此时,传入的参数作为要查询的字
MyBatis#和$区别?
你只管努力,
11-25 311
1.#是占位符。 $是用来拼接字符,虽然也是占位但是做不了字符的转换。#自动转换 日常报标识符无效的异常 2.#直接获取属性名称 $首先去获取properties文件的属性名称,没有的话再去对象或者参数找。 3.#占位符 $拼接字符串,容易出现SQL注入。 为什么要引入$符号? 因为当数据库非常大的时候需要进行分库和分表, 数据量大的时候#无法处理 这时候就需要$来处理了。传...
Mybatis-占位符#{}和${}的使用说明
m0_37965811的博客
05-31 2450
1、占位符 #{}是占位符,${}是拼接符。 #{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”. ${}将传入的数据直接显示生成在sql。如:order by ${user_id},如果传入的值是111,那么解析成sql时的值为order by 111, 如果传入的值是id,则解析成的sql为orde
MyBatis的#{}和${}区别、ResultMap使用、MyBatis常用注解方式、MyBatis动态SQL
最新发布
fxbsdl的博客
08-26 1171
俩个元素 collection 、associationcollection:关联元素处理一对多关联例如专业与学生是一对多,专业一方配置学生集合//专业//专业名称//专业下学生集合在学生多方配置专业一方//建议在学生表关联专业,将专业信息封装到专业对象使用ResultMap组装查询结果--专业关联学生一对多查询到的多个学生放到一个集合当-->selectm.id,m.name,s.num,</select>
Mybatis的参数占位符
weixin_44082260的博客
05-30 1656
mybatis支持参数占位符 不过和JDBC的不同,JDBC是?,而mybatis对于字符参数和非 字符参数提供了两种不同的参数占位符,非字符使用#{},而字符类型的参数则要使用${} 当使用模糊查询的时候,如果我们要使用参数占位符,那么必须要使用${}的形式, 因为模糊查询的时候,我们的参数是字符类型的 而#{}参数占位符只能连接非字符形式的参数,而如果我们要使用字符串的参数占 位符的时候,我们...
MyBatis单表查询——参数占位符${}和#{}、SQL注入、like查询
LYJbao的博客
03-25 2289
目录前言: 1、参数占位符:${}和#{}2、SQL注入 3、${}的优点小结:$ VS #:4、like查询 解决方案,使用MySQL的内置函数concat()来处理 以下文章,对于没有接触过Mybatis的小伙伴来说,需要看完这篇文章才可以继续向下执行:http://t.csdn.cn/nGTFZ其次,我们为了更好地观察出现的问题,可以在配置文件,配置打印MyBatis的执行SQL: 1、参数占位符:${}和#{} 我们在mapper的.xml文件,进行数据库的SQL语句编
MyBatis的#{}和${}的用法
heliuerya的博客
06-15 2616
在实际开发有些数据量非常大,需要分表存储,然后分表查询,比如:日志信息表基本上是每天一张表,现有多张日志信息表:log_20230101、log_20230102、log_20230103…比如:在查询某班全体学生并按照姓名按照升序/降序排列的sql语句,当需要传入关键字asc"或"desc"的时候需要使用${}而不能使用#{},像这种需要传入。先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。的sql语句需要使用${},其它情况需要使用#{},用来防止出现sql注入现象。
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
MyBatis#{}和${}的区别详解
09-01
MyBatis框架,`#{}`和`${}`是两种不同的占位符,它们各自有不同的用途和特性。了解它们的区别对于编写安全、高效的SQL语句至关重要。 首先,`#{}`是预编译参数的表示方式,它会被MyBatis转化为...
浅谈mybatis的#和$的区别 以及防止sql注入的方法
09-01
总之,理解MyBatis`#`和`$`的区别,并合理使用它们,是编写安全、高效SQL语句的关键。正确处理动态SQL和防止SQL注入,不仅可以提升应用的安全性,还能优化数据库性能,减少潜在的运行时错误。
mybatis的#{}占位符和${}拼接符
Meiko记录
01-14 2771
#{}占位符:占位 使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且在使用#{}时形成的sql语句,已经带有引号,例,select * from table1 where id=#{id} 在调用这个语句时我们可以通过后台看到打印出的sql为:select * from table1 where id=‘2’ 加入传的值为2.也就是说在组成sql语句的时候把参数默认为字符串。
MyBatis——谈谈占位符(#、$)的理解与使用
热门推荐
贝尔摩德苦艾酒
03-02 3万+
MyBatis——谈谈占位符(#、$)的理解与使用
${}占位符用法
avbrv2393的博客
09-19 462
${}占位符需要和模板字符串配合使用。 ES2015新增此语法结构。 浏览器支持: (1).IE9+浏览器支持占位符。 (2).edge浏览器支持占位符。 (3).火狐浏览器支持占位符。 (4).谷歌浏览器支持占位符。 (5).opera浏览器支持占位符。 (6).safria浏览器支持占位符。 上面已经对占位符做了简单的介绍,但是还需要明晰如下两个问题: 一....
${}占位符解析
u014551778的博客
03-22 375
classpath,有些xml会使用${}做占位符 需要把对应配置文件使用placeHolderConfigurer解析 <bean id="propertyPlaceholderConfigurer" class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer"> <property name="locations">
浅谈mybatis占位符
xu2414506319的博客
06-25 480
浅谈mybatis占位符 #{}占位符 ​ 把传入的数据都当成字符串,会对传入的数据自动加上引号 例如: select * from emp where name=#{name} --会被解析转义成 select * from emp where name="name" ${}占位符 ​ 不会经过转义,直接把值传入sql 例如: select * from emp where name=${name} --不会被转义 select * from emp where name=name 但是需要注
${}占位符的解析
qq_26300501的博客
01-26 1044
package com.example; import java.util.HashMap; import java.util.Map; /** * @ClassName: Resolve * @Auther: zhaoxiuhao * @Date: 2021/1/26 9:24 * @Description: TODO * @Version: 1.0 */ public class Resolve { public static final String prefx = "#{";
MyBatis #{} ${}
weixin_43014205的博客
01-09 1395
#{} 表示一个占位符号 自动进行java类型和jdbc类型转换 可以有效防止SQL注入 可以接受简单类型或者pojo属性值 如果parameterType传输单个数据类型,#{}括号可以是value或其他名称   SELECT * FROM `customer` where cust_name like '%#{value}%';  SELECT * FROM `custom...
MyBatis3文用户指南:从入门到精通
- **Parameters**: 参数映射,将Java对象的属性值映射到SQL占位符。 - **resultMap**: 结果映射,用于复杂结果集的映射,包括一对一、一对多、多对多关系。 7. **高级结果映射** - 在复杂的数据库操作,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值