MyBatis中#{}和${}的区别?

最新推荐文章于 2024-04-25 15:41:10 发布
最新推荐文章于 2024-04-25 15:41:10 发布
阅读量466 收藏
点赞数 2
分类专栏: 框架知识 文章标签: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Linda_Lindaaaa/article/details/89245119
版权

(1)#{}

在xxMapper.xml文件中,查询语句如下:

 <select id="selectUser" resultType="mybatis.entity.User">
       select * from user where username= #{username}
  </select>

此时,在mybatis执行该语句前,会将该查询编译成“ select * from user where username=?”,将参数位置创建成占位符,并安全的设置参数。这样做更安全,更迅速,通常情况下用#{}这个符号。

(2)${}

如果想在SQL语句中插入一个不转义的字符串,比如下面这个语句,

<select id="getUserList" resultType="mybatis.entity.User">
       select * from user order by ${column }
  </select>

假如传入的参数是username,在mybatis执行该语句前,该语句会被编译成“ select * from user order by username”。${column}被直接替换掉了。这种方式同样适用于用来替换表名的情况。

用这种方式接受用户的输入,并将其用于语句中的参数是不安全的,会导致潜在的 SQL 注入攻击,因此要么不允许用户输入这些字段,要么自行转义并检验。

Linda_Lindaaaa
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MybatisMybatis(> < = >= <=)转义
weixin_45995287的博客
12-08 3980
因为我们在日常代码Mybatis 动态拼接语句时候经常使用到 大于(>,>=)、小于(
mybatis的#和$的区别
热门推荐
kobi521的专栏
11-25 11万+
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是111,那么解析成sql时的
mybatis - 取值符号:# 和 $的区别
最新发布
pig_ning的博客
04-25 315
mybatis - 取值符号:# 和 $的区别
mybatis $ {} 和 # {}的区别,什么时候使用${}
qq_22075913的博客
10-26 2670
mybatis $ {} 和 # {}的区别,什么时候使用${} 动态sql是mybatis的主要特性之一。在mapper定义的参数传到xml之后,在查询之前mybatis会对其进行动态解析。 mybatis提供了两种支持动态sql的语法:#{} 、${}。 select * from t_user where username = '${username}'; select * from t_user where username = #{username}; username传参一致的话,这两种
Mybatis#{}和${}的用法
li_w_ch的博客
11-17 1万+
1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。 比如, select * from student where student_name = #{studentName} 如果传入的值为xiaoming,那么解析成sql的值为student_name="xioming"。 2、${}将传入的数据直接显示生成在sql。 如 : select ${fieldNmae} from student where student_age = 18 此时,传入的参数作为要查询的字
MyBatis 大于等于、小于等于的写法
m0_67402731的博客
04-21 9596
标准写法如下: 第一种写法: 原符号 < <= > >= & ' " 替换符号 &lt; &lt;= &gt; &gt;= &amp; &apos; &quot; SQL示例如下: create_time &gt;= #{startTime} and create_time &lt;= #{endTime} 第二种写法: 大于等于 <![CDATA[ >= ]]> 小于等于 &lt
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
浅谈mybatis的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
MyBatis#和$的区别
m0_67514201的博客
07-22 402
如orderby#user_id#,如果传入的值是111,那么解析成sql时的值为orderby'111',如果传入的值是id,则解析成的sql为orderby'id'。如orderby$user_id$,如果传入的值是111,那么解析成sql时的值为orderby111,如果传入的值是id,则解析成的sql为orderbyid.效果是把sql语句和${}里面的内容拼接起来。2.3${}占位符的值,因为使用的字符串连接方式,有sql注入的风险,存在代码安全的问题;...
MyBatis#{}和${}的不同和${}的妙用
Marvel__Dead 胡艺宝的博客
04-14 1万+
突然意识到sql语句的独特语义要和代码分离,我们就不能够在代码写sql语句!!比如我要用${}在MyBatis的sql拼接排序类型的时候,我就不能够在Java代码直接写参数字符串为Order By哪儿个类型#{}和${}的基本不同我就不想说了,这里要说的是进一步对占位符和字符拼接的字面语义的领悟!!#{}和${}基本不同在这篇文章的最后有提到过占位符:占位符就是在某个地方占领一个位置,把它单独
Mybatis #和$的区别详解
Bradley的博客
08-11 2531
代码分析: 下列代码用到的是${}写法 通过这里我们看到${}在动态解析时候,会传入参数字符串(也就是说只是将参数拼接成字符串) 我们再看#{}这种写法 此时我们再看SQL语句变成了占位符(?) 总结: #相当于对数据加上双引号,$相当于直接显示数据 #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成 sql 时的值为 order by “111”, 如果传入的值是 id,则解析成的 sql 为 order.
mybatis"#{}"和"${}"的区别
MLn Blog
06-06 1万+
动态 sql 是 mybatis 的主要特性之一,在 mapper 定义的参数传到 xml 之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${} 。 1、#相当于对数据 加上 双引号,$相当于直接显示数据。 2、#{} : 根据参数的类型进行处理,比如传入String类型,则会为参数加上双引号。#{} 传参在进行S...
Java Thread和Runnable实现多线程的区别和联系
星宇宙的专栏
06-22 7480
Java有两种方式实现多线程,第一个是继承Thread类,第二个是实现Runnable接口。他们之间的联系: 1、Thread类实现了Runable接口。 2、都需要重写里面Run方法。 他们之间区别“ 1、实现Runnable的类更具有健壮性,避免了单继承的局限。 2、Runnable更容易实现资源共享,能多个线程同时处理一个资源。 看一下以继承Thread的买票例子: publ
MyBatis的#{}与${}的区别
我的博客
07-19 358
MyBatis的#{}与${}的区别 MyBatis的#{}与${}最大的区别就是 使用#{}时,会对传入的值都加一个双引号,而使用${}时,会直接用传入的值替代${},而不会加双引号 MyBatis的${} 例如: 我要查询test表enum1列的值为hotel的一条数据,SQL语句是这样写的: select * from test t where t.enu...
Mybatis的#{} 和 ${}区别、联系及用法
CJW的博客
04-13 1522
Mybatis的 #{} 和 ${}区别于联系 一般业务开发或学习时,最需要注意的是:当我们的数据库表名作为参数或者利用order by进行查询结果排序时需要使用${},其他情况尽量使用#{},能够防止SQL注入,反正就是一句话,除了特殊情况,能用#{}尽量用#{}。 1. 联系 #{} 和 ${}都能够使Mybatis实现动态传递参数; 2. 区别 作用:#{}直接给数据加增加一对儿引号,${}则是直接显示数据,数据本身是啥就是啥。 在动态获取id时,#{}的位置 id = ? ,是一个占位符.
MyBatis-#{}和${}的区别是什么
了解➔熟悉➔掌握➔精通
12-28 963
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍来!请轻击http://www.captainbed.net 1、#{}和${}的区别是什么? (1)使用#{}格式的语法,在MyBatis会使用PreparedStatement语句来设置值。我们知道使用PreparedStatement有预编译的过程,效率比Statement更高,而且可能防止SQL注入。跟踪断点会看到即将执行的SQL用“?”做占位符。同时,#{}写法会将传入的数据都当成一个字符串,会对传入的数据
mybatis#和$的区别
06-07
MyBatis,#和$都是用于替换SQL语句的占位符的符号,但它们的处理方式不同。 #号表示占位符,通过预编译的方式将传入的参数值进行安全的替换,防止SQL注入攻击,同时将参数值转换为对应的JDBC类型。例如: ``...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值