mybatis中#{}和${}的区别

最新推荐文章于 2024-06-15 20:21:51 发布
最新推荐文章于 2024-06-15 20:21:51 发布
阅读量178 收藏
点赞数
分类专栏: sql Java mybatis 文章标签: mybatis sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lxl1418/article/details/130409401
版权
sql 同时被 3 个专栏收录
10 篇文章 2 订阅
订阅专栏
Java
6 篇文章 0 订阅
订阅专栏
mybatis
3 篇文章 0 订阅
订阅专栏

mybatis中#{}和${}的区别?

#{}的原理

在MyBatis中,#{}属于预编译的参数,它会将传入的参数视为一个占位符,并将其转化为一个安全可控的sql语句。在执行sql之前,预先设置好了sql语句中的参数,再将参数传入sql语句中进行执行。

例如

@Select("SELECT * FROM user WHERE username = #{username} AND password=#{password}")
User getUser(@Param("username") String username, @Param("password") String password);

${}的原理

${}属于字符串替换,它会将传入的参数直接拼接在sql语句中。因为它不进行预编译,所以存在SQL注入的风险。

例如

@Select("SELECT * FROM user WHERE username = '${username}' AND password=${password}")
User getUser(@Param("username") String username, @Param("password") String password);

这就会有sql注入的风险。

什么时候用${}

虽然${}有sql注入的危险,但还是有些情况需要我们使用${}

当我们需要在SQL语句中传入表名或列名时,我们可以使用${},因为这个时候参数会作为一个字符串被拼接在sql语句中,并且这个参数是没有进行预编译的。如果我们使用#{},则会将传入的参数加入单引号。如果在SQL语句中传入字段名称或表名称,那么单引号就会产生问题。

例如

<insert id="insertData" parameterType="com.example.entity.Student">
   INSERT INTO 
   ${tableName}
   (id,name,age)
   VALUES
   (#{id},#{name},#{age})
</insert>

${tableName}是列名,如果你用#{}就会自动加上单引号,这样是不行的,只能用${}

#{}和${}的使用区别

#{}的原理是在MyBatis源码中的处理过程中,将占位符替换成JDBC预编译语句中的“?”。例如在XML mapper文件中的SQL语句:

<select id="selectUserById" parameterType="int" resultType="com.example.User">
    SELECT * FROM users WHERE id = #{id}
</select>

在实际执行时,MyBatis会将这个 SQL 中的 #{id} 替换成 ?,同时还会为预编译语句中的 ? 设置参数值。

而加上单引号这个做法则是因为如果不加单引号,一些类型的参数(比如字符串、日期等)在拼接SQL语句时会产生语法错误,因此MyBatis会自动在传入参数时加上单引号以避免这种错误。

例如,下面这个语句中的id参数可能是一个字符串类型:

<select id="selectUserById" parameterType="String" resultType="com.example.User">
    SELECT * FROM users WHERE id = #{id}
</select>

在实际执行时,如果id参数的值是字符串类型的,则拼接出来的SQL语句就变成了:

SELECT * FROM users WHERE id = 'myExampleId'如果没有单引号,就会变成:

SELECT * FROM users WHERE id = myExampleId这段SQL语句会产生语法错误。

因此,MyBatis会自动在参数上加上单引号来避免这种错误。但也应该注意,不是所有的参数都需要加上单引号,比如数字类型的参数就不需要单引号。

#{}的源码实现

在 MyBatis 中,${}将参数直接拼接到 SQL 字符串中,而 #{}使用 PreparedStatement 的参数设置方式来实现。即在参数值传输到数据库驱动之前,Mybatis 的 SQL 解析引擎会将 SQL 中的 #{} 占位符替换为 ? ,然后调用 PreparedStatement 的 setXXX() 方法将实际的参数值传递到 SQL 中。从而避免 SQL 注入攻击的问题。

下面是 MyBatis#{}的实现过程,从执行器开始分析:

public class SimpleExecutor extends BaseExecutor {

  // 重载了父类的 query 非根方法
  @Override
  protected <E> List<E> doQuery(MappedStatement ms, Object parameter, RowBounds rowBounds,
      ResultHandler resultHandler, BoundSql boundSql) throws SQLException {
    Statement stmt = null;
    try {
      // 获得连接 & 创建 Statement 对象
      stmt = createStatement(ms, parameter);
      // 执行 Statement ,返回结果集 ResultSet
      ResultSet rs = stmt.executeQuery(boundSql.getSql());
      // 处理 ResultSet ,封装成 ResultHandler 等
      return (List<E>) resultHandler.handleResultSets(rs);
    } finally {
      // 关闭 Statement 对象
      closeStatement(stmt);
    }
  }  
 
  private Statement createStatement(MappedStatement ms, Object parameter) throws SQLException {
    Configuration configuration = ms.getConfiguration();
    // 获得 DataSource
    Environment environment = configuration.getEnvironment();
    DataSource dataSource = environment.getDataSource();
    // 创建 Connection 对象
    Connection connection = dataSource.getConnection();
 
    // 创建 StatementHandler 对象
    StatementHandler handler = configuration.newStatementHandler(wrapper, ms, parameter, rowBounds, resultHandler, boundSql);
    // 创建 Statement 对象
    Statement stmt = null;
    // 准备 Statement 对象
    stmt = handler.prepare(connection, transaction.getTimeout());
    // 设置参数到 Statement 对象中
    handler.parameterize(stmt);
    return stmt;
  }
 
  // ...
}

可以看到,MyBatis会依次经过如下几个阶段执行:

1.创建 Statement 对象;

2.完成 Statement 对象的参数设置;

3.执行 Statement ,得到结果集 ResultSet ;

4.ResultHandler 处理结果集 ResultSet ,得到结果 。其中,第2步完整的调用栈为:

public class MybatisParameterHandler implements ParameterHandler {
  
  // 重要代码
  @Override
  public void setParameters(PreparedStatement ps) throws SQLException {
    ErrorContext.instance().activity("setting parameters").object(mappedStatement.getParameterMap().getId());
    List<ParameterMapping> parameterMappings = boundSql.getParameterMappings();
    if (parameterMappings != null) {
      // 遍历 ParameterMapping 数组,并设置参数到 SQL 中
      for (int i = 0; i < parameterMappings.size(); i++) {
        ParameterMapping parameterMapping = parameterMappings.get(i);
        if (parameterMapping.getMode() != ParameterMode.OUT) {
          Object value;
          String propertyName = parameterMapping.getProperty();
          if (boundSql.hasAdditionalParameter(propertyName)) { // issue #448 ask first for additional params
            value = boundSql.getAdditionalParameter(propertyName);
          } else if (parameterObject == null) {
            value = null;
          } else if (typeHandlerRegistry.hasTypeHandler(parameterObject.getClass())) {
            value = parameterObject;
          } else {
            MetaObject metaObject = configuration.newMetaObject(parameterObject);
            value = metaObject.getValue(propertyName);
          }
          TypeHandler<?> typeHandler = parameterMapping.getTypeHandler();
          JdbcType jdbcType = parameterMapping.getJdbcType();
          if (value == null && jdbcType == null) {
            jdbcType = configuration.getJdbcTypeForNull();
          }
          typeHandler.setParameter(ps, i + 1, value, jdbcType);
        }
      }
    }

  }
  
}

MyBatis会先遍历 ParameterMapping 数组,并设置参数到 SQL 中。在这个过程中,MyBatis 会先为 setObject() 方法传递参数的索引,然后根据 Java 类型,调用对应的 TypeHandler 完成参数设置。在这个过程中,MyBatis 还会判断: 当前的参数值是否为 null(null 要么用默认类型,要么用 parameterMapping 中指定的类型)、JDBC 类型是否为 null,并且还需要考虑 JDBC 类型和 Java 类型的映射问题。最终,MyBatis 会将参数设置出去,等待 PreparedStatement 对象执行 SQL语句。

总结

#{}进行预编译,${}进行字符串替换

#{}可避免SQL注入,${}存在SQL注入风险

当传入参数时,使用#{},当传入表名或列名时,使用${}。

String、code
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis的#{}和${}的区别
jackzhang1996的博客
03-25 210
mybatis的#{}和${}的区别 FIRST 首先要搞清楚一个动态解析和预编译。动态解析可以理解为mybatis将mappersql解析为预编译语句可以认识的预编译sql;预编译就是PreparedStatement对sql进行编译,变为DBMS可以直接执行的sql。 SECOND #{}是占位符、防止sql注入,mybatis在动态解析的时候会将#{} 替换为? 然后用Prepared...
mybatis${}与#{}的区别
osliveandroide的博客
06-20 284
今天在项目使用easyui传递排序字段进行排序,但是一直无法成功,数据依然是未排序的结果。 if (sort != null && order != null) { String[] sorts = sort.split(","); String[] orders = order.split(","); String orderbys = ""; for (int
MyBatis#{}和${}的区别
m0_67683346的博客
02-28 4585
MyBatis#{}和${}的区别
Mybatis的${}和#{}区别
web18484626332的博客
08-02 8617
动态sqlmybatis的主要特性之一,在mapper定义的参数传到xml之后,在查询之前,mybatis会对其进行动态解析。mybatis为我们提供了两种支持动态sql的语法#{}以及${}提示以下是本篇文章正文内容,下面案例可供参考。...
MyBatis${} 和 #{} 有什么区别
分享Java技术知识,共同成长进步!
09-14 5630
${} 和 #{} 都是 MyBatis 用来替换参数的,它们都可以将用户传递过来的参数,替换到 MyBatis 最终生成的 SQL ,但它们区别却是很大的,接下来我们一起来看。 1.功能不同 ${} 是将参数直接替换到 SQL ,比如以下代码: 最终生成的执行 SQL 如下: 从上图可以看出,之前的参数 ${id} 被直接替换成具体的参数值 1 了。 而 #{} 则是使用占位符的方式,用预处理的方式来执行业务,我们将上面的案例改造为 #{} 的形式,实现代码如下: 最终生成的 S
请简述MyBatis #{} 和 ${} 之间的区别
Jiali的博客
05-10 1469
​ 首先和都可以用来读取调用Mapper接口时传递给方法的形参值,形参可以是基本类型、引用类型(对象),不管是读取基本类型还是对象的属性,都可以用或直接获取到。
浅谈mybatis的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
浅谈Mybatis #和$区别以及原理
08-18
主要介绍了浅谈Mybatis #和$区别以及原理,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
主要介绍了Mybatis#{}和${}传参的区别及#和$的区别小结 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
Mybatis下动态sql##和$$的区别讲解
08-26
今天小编就为大家分享一篇关于Mybatis下动态sql##和$$的区别讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
Mybatis常问:#{}与${}的区别
zjjcchina的博客
06-06 2065
查询到数据才可以是登录成功,否则表示登陆失败,但是会有这么一种情况,我们的SQL语句是由我们拼接的,如果用户故意输入可以让后台解析失败的字符串,这就是SQL注入,例如我们输入密码,输入 '''' ' or 1=1'' 这样,他会在后台进行拼接成select count(1) from table where username = 'username' and password = '' or 1=1;由结果可以看出,我们在没有密码的情况下依旧获取到了数据库的私密信息,由此可见${}存在很大的安全隐患。
Mybatis#{}和${}的区别是什么?
whitek387的博客
07-30 1200
原文链接,讲的很细!!!!! 动态 sqlMyBatis 的主要特性之一,在 mapper 定义的参数传到 xml 之后,在查询之前 MyBatis 会对其进行动态解析。MyBatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 面试题:#{}和KaTeX parse error: Expected 'EOF', got '#' at position 13: {}的区别是什么? 1)#̲{}是预编译处理, {}是字符串替换。 2)MyBatis在处理#{}时,会将SQL
MyBatis #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1169
1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
Mybatis#{}和${}的区别
Lqf111的博客
10-06 536
1,#{}是占位符,预编译处理;${}是拼接符,单纯的字符串替换,没有预编译处理。 2,Mybatis在处理#{}时,#{}传入参数是以字符串传入,会将SQL的#{}替换为?,调用PreparedStatement的set方法来赋值。 3,Mybatis在处理${}时是原值传入的,就是把{}的内容替换成变量的值,相当于JDBC的Statement编译。 4,变量替换后,#{}对应的变量会自动加上单引号;${}对应的变量不会加上单引号。 5,#{}可以有效的防止SQL注入,提高系统的安全性。
【AI+编程】工作日常场景随时可以AI编程,记一个问答SQL快速导出数据日常示例
最新发布
月晓风清
06-15 337
为了实现你需要的操作,即以问题名称作为表头,答案作为内容导出,你可以通过JOIN操作连接三个表,然后利用动态SQL语句进行行转列转换(PIVOT)。然后通过执行这个动态生成的SQL,你可以得到一个表格,表的每一行表示一个成员,对应每个问题的答案作为列数据。然后,在动态生成的SQL语句利用JOIN把db_member、db_question和db_answer连接起来,并根据question_id和member_id进行匹配,以输出每个成员对应的问题答案。下面是假定表结构,实际场景和它类似。
mybatis#和$的区别
06-07
MyBatis,#和$都是用于替换SQL语句的占位符的符号,但它们的处理方式不同。 #号表示占位符,通过预编译的方式将传入的参数值进行安全的替换,防止SQL注入攻击,同时将参数值转换为对应的JDBC类型。例如: ``...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值