关于Mybatis中的`#{}`和`${}`这2种格式的占位符

于 2023-04-17 00:39:49 发布
阅读量89 收藏
点赞数
文章标签: mybatis 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lllrrjj/article/details/130191135
版权

关于Mybatis中的#{}${}这2种格式的占位符

1、关于#{}占位符

  1. 使用JDBC的对象PreparedStatement(这点很重要)避免sql注入,执行安全
  2. #{}作为列值使用,在sql语句的 = 右侧
  3. #{}位置的值和数据类型相关

2、关于${}占位符

  1. 使用JDBC的对象Statement(这点很重要)
  2. ${ } 占位符的值,使用的是字符串拼接的方式,有 sql 注入的风险,同时也存在代码安全的问题
  3. ${ } 占位符中的数据是原模原样的,不会区分数据类型

3、关于PreparedStatement和Statement

  • 两个都是sql查询语句的API
  • preparedstatement接口继承了statement接口
  • 有什么区别?
    1. statement不对sql语句做处理,直接交给数据库
      prepraedstatement支持预编译,会将编译好的sql语句放在数据库端,相当于缓存,可以提高多次重复执行的sql语句效率
    2. sql语句通常会大量执行,必然会产生大量的statement或者preparedstatement对象,当然使用后者更划算
    3. statement的sql语句使用字符串拼接的方式
      preparedstatement使用“?”占位符

4、示例讲解

<select id="getStandardById" resultMap="StandardResultMap">
    SELECT
        username,password,gender,partment
    FROM
        ams_admin
    WHERE
        username=#{username}
</select>
  • 使用 username=#{username}:
    • 如果传入的username类型为字符型,比如输入tom,那么 username=#{username} 表示的就是 username=”tom”
    • 如果传入类型为数值类型,比如输入11,那么username=#{username},表示的就是 username=”11”。
  • 使用 username=${username}:
    • 如果传入的username类型为整型类型,那么在执行sql语句时就不会出错
    • 但是如果传入的username类型为字符串型,比如输入tom,那么 username=${username} 表示的就是 username=zhangsan,执行会报错
    • 所以sql语句必须写成这样:username=‘ ${username} ’
6.9㎡的try...catch
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Mybatis日志参数快速替换占位符工具的详细步骤
08-18
主要介绍了Mybatis日志参数快速替换占位符工具的详细步骤,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
MyBatis——谈谈占位符(#、$)的理解与使用
热门推荐
胜天半子祁同伟
03-02 2万+
MyBatis——谈谈占位符(#、$)的理解与使用
mybatis的#{}占位符和${}拼接符
Meiko记录
01-14 2578
#{}占位符:占位 使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句如果存在参数则会使用?作占位符,我们知道这方式可以防止sql注入,并且在使用#{}时形成的sql语句,已经带有引号,例,select * from table1 where id=#{id} 在调用这个语句时我们可以通过后台看到打印出的sql为:select * from table1 where id=‘2’ 加入传的值为2.也就是说在组成sql语句的时候把参数默认为字符串。
Mybatis#{}和${}的用法
li_w_ch的博客
11-17 1万+
1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。 比如, select * from student where student_name = #{studentName} 如果传入的值为xiaoming,那么解析成sql的值为student_name="xioming"。 2、${}将传入的数据直接显示生成在sql。 如 : select ${fieldNmae} from student where student_age = 18 此时,传入的参数作为要查询的字
4千字带你看懂Mybatis $和#占位符的作用
程序员小岑成长记
05-23 623
前言 在JDBC,主要使用的是两语句,一是支持参数化和预编译的PrepareStatement,能够支持原生的Sql,也支持设置占位符的方式,参数化输入的参数,防止Sql注入,一是支持原生Sql的Statement,有Sql注入的风险。 在使用Mybatis进行开发过程,隐藏了底层具体使用哪一语句的细节,我们通过使用#和$告诉Mybatis,我们实际上进行的是怎么样的操作,需要对语句进行参数化还是说直接保持原生状态就好。 今天我们主要看一下使用两符号使用时系统应对Sql注入的表现和Mybati
mybatis`${}`使用【特殊SQL】
weixin_47267628的博客
05-04 1746
特殊SQL的执行 1.模糊查询【重点】 由于模糊查询传入是一个字符串 模糊查询的三方式 方式一:%${值}% 方式一:注意是一定不能使用#{}没有拼接字符串的作用,会直接当作为%#{值}%一个字符串,所以会报错 select * from t_user where username like '%${username}%'; 方式二:concat('%',#{值},'%') 使用concat函数,来拼接字符串 select * from t_user where username like conca
Spring及Mybatis整合占位符解析失败问题解决
08-18
主要介绍了Spring及Mybatis整合占位符解析失败问题解决,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
mybatis 日志 sql参数替换工具
05-30
非常好用的,就是你们所要的 Mybatis日志参数快速替换占位符 sql参数替换工具html
mybatis-generic-crud:说明使用 GenericCrudMapper 和 GenericCrudService 的示例 MyBatis 模块
05-31
mybatis-generic-crud MyBatis 模块说明使用 ... 缺点(次要)是,是的,您仍然需要创建占位符映射器接口,并且仍然需要创建映射器 xml 文件和其的相应 CRUD sql。 好处是,如果遵循将映射器方法命名为与Gen
动态sql解析引擎,类似mybatis动态sql的功能
最新发布
04-28
orange是一个动态sql引擎,类似mybatis的功能,解析带标签的动态sql,生成?占位符的sql和?对应的参数列表。 借鉴了mybatis源码,相当于mybatis的动态sql解析功能的抽取。 支持 if foreach where set trim
mybatis (二)占位符
weixin_44032502的博客
02-04 1007
占位符简介一、#{}二、${} 简介 mybatis占位符有两:#{}、${}。 共同点: 都可以获取参数列表的参数 不同点: #{}采取预编译的形式将参数设置到sql语句,可以防止sql注入 ${}直接将取出的值拼装在了sql,会出现安全问题 一、#{} 应用场景: 普通的条件参数占位 可应用在条件参数上 @select("select * from tb_test where id=#{id}") public Test findById(int id); 二、${} 应用场景: 可
mybatis占位符的讲解
毕业势必进大厂的博客
11-05 5590
mybatis占位符有两个,一个是#,一个是$,这两个有什么区别,我们分别来讲解一下 1. 占位符#{} 语法:#{字符} #占位符告诉mybatis使用实际的参数值代替。并,#{…}代替sql语句的"?"。这样做更安全,更迅速,通常也是首选做法 mapper文件 <select id="selectStudentById" parameterType="int" resultType="com.lu.entity.Student"> select id, name, email, a
Mybatis占位符详解
tpf1070527713的博客
04-15 2440
mybatis有两占位符,一是#{},另一是${},name这两占位符有什么区别呢? #{}解析传递进来的参数数据 ${}对传递进来的参数原样拼接在SQL #{}的SQL是这样的: ==> Preparing: select T_Id, T_direction, T_courses, T_contents, T_teacher, T_class_type, T_rema...
mybatis占位符与拼接符的作用
一个人的世界
08-09 1306
在mybtis,常见到#{}符号,我们称之为占位符。${}符号,我们称之为拼接符。 #{}表示一个占位符号,通过#{}可以实现preparedStatement向占位符设置值, 自动进行java类型和jdbc类型转换。#{}可以有效防止sql注入,类似于jdbc的预编译。#{}可以接收简单类型值或pojo属性值。 如果parameterType传输单个简单类型值,#{}括号可以是v
mybatis#和$符号的区别
weixin_34384915的博客
07-19 347
mybatis做为一个轻量级ORM框架在许多项目使用,因其简单的入门受到了广大开发者的热爱。在近期项目再做一个相关的开发,碰到了#、$符号这样的问题,之前没怎么注意过,通过学习之后,有了点感悟,分享如下, #{} 使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句如果存在参数则会使用?作占位符,我们知道这方式可以防止sql注入,并且...
(九)Mybatis的#{}占位符和${}拼接符的区别
秦怀杂货店
06-26 5150
注:代码已托管在GitHub上,地址是:https://github.com/Damaer/Mybatis-Learning,项目是mybatis-05-CURD,需要自取,需要配置maven环境以及mysql环境,觉得有用可以点个小星星,小菜鸟在此Thanks~ 1.#{}占位符 1.#{}占位符可以用来设置参数,如果传进来的是基本类型,也就是(string,long,double,in...
MyBatis${}的用法
jushisi的博客
08-27 5690
参考: https://blog.csdn.net/weixin_44142296/article/details/96436951 ‘${}’ 传列名,使用聚合函数 表t_user有如下4 个字段:id 、name、 age 、 consume_amt 如果需求是有时候是要age的平均数, 有的是consume_amt的平均数,那么可以把列表传到SQL查询。如下: mapper.xml <select id="getAvg" parameterType="java.lang.Strin.
mybatis`$`{}和#{}区别
weixin_56525912的博客
04-20 194
标题mybatis ${}和#{}区别 mybatis ${}和#{}区别 KaTeX parse error: Expected 'EOF', got '#' at position 10: {}是字符串替换,#̲{}是预处理;Mybatis …{}时,就是把${}直接替换成变量的值。而 Mybatis 在处理#{}时,会对sql 语句进行预处理,将 sql 的#{}替换为?号,调用PreparedStatement 的 set 方法来赋值;使用#{}可以有效的防止 SQL 注入,提高系统安全性。 .
MyBatis#和$占位符的区别
陈东东的博客
11-04 1044
#{value} 使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句如果存在参数则会使用?作占位符,我们知道这方式可以防止sql注入,并且在使用#{}时形成的sql语句,已经带有引号。 例如,select * from table1 where id=#{id} 在调用这个语句时我们可以通过后台看到打印出的sql为:select * f...
mybatis#和$
05-16
MyBatis ,# 和 $ 符号都用于参数占位符,但它们的使用方式略有不同。 #符号表示参数占位符,例如: ``` <select id="getUserById" resultType="User"> select * from user where id = #{id} </select> ``` 在上面的示例,#id# 将被替换为传递给 SQL 查询的实际参数值。MyBatis 会自动将传递的参数值包装在一个预编译语句,可以防止 SQL 注入攻击。 $符号表示直接替换参数值,例如: ``` <select id="getUserById" resultType="User"> select * from user where id = ${id} </select> ``` 在上面的示例,$id$ 将被替换为传递给 SQL 查询的实际参数值。使用 $ 符号时,传递的参数值不会被包装在预编译语句,因此可能会导致 SQL 注入攻击。 总的来说,使用 # 符号是更安全和推荐的方式,因为它可以防止 SQL 注入攻击。但有时候,如果需要动态构建 SQL 语句,$ 符号可能更方便。但是,使用 $ 符号时必须小心,避免 SQL 注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值