Mybatis中#{}和${}的区别

最新推荐文章于 2024-10-01 09:29:45 发布
最新推荐文章于 2024-10-01 09:29:45 发布
阅读量215 收藏
点赞数
分类专栏: 学习成长 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MENGBAA/article/details/124232931
版权

#{}

在preparedStatement中为sql语句设置参数值,在sql中表示一个占位符,即?

#{}可以接受简单类型值或者pojo属性值,在传输的是简单类型值,#{}中可以是value或者其他

<!-- 根据id查询用户信息 -->
<select id="findUserById" parameterType="int" resultType="user">
select * from user where id = #{value}
</select>

<!-- 根据id查询用户信息 -->
<select id="findUserById" parameterType="int" resultType="user">
select * from user where id = #{id}
</select>

该方式可以防止sql注入

${}

理解成使用该方式是直接在sql语句上拼接字符串,而不是像上文的表示一个占位符,而且该方式无法防止sql注入,看个例子就懂

${}同样可以接受简单类型值或者pojo属性值,接受简单类型值时其中只能用value

<!-- 根据名称模糊查询用户信息 -->
<select id="selectUserByName" parameterType="string"
resultType="user">
select * from user where username like '%${value}%'
</select>

对比一下#{}

<!-- 根据名称模糊查询用户信息 -->
<select id="selectUserByName" parameterType="string"
resultType="user">
select * from user where username like #{value}
</select>

使用时

再比如 order by 排序,如果将排序方式(asc/desc)通过参数传入 sql,,应该写为: ORDER BY columnName ${value} 如果使用#{}将无法实现此功能。

 总结区别

1.在接受简单类型值时,#{}中可以写value或者其他,${}中只可以写value

2.#{}可以防止sql注入,而${}不可以

3.在某些特殊的sql中,#{}中无法实现或者不好用,例如升降序

order by name #{value}

order by name ${value}

MENGBAA
关注
专栏目录
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
Mybatis#和$的区别
热门推荐
伏颜的博客
07-11 1万+
Mybatis#和$的区别
mybatis#和$的区别
weixin_64922330的博客
08-14 686
简单介绍mybatis#和$的区别
Mybatis #和$的区别是什么?
牛肉胡辣汤
08-22 309
​时,MyBatis会将参数值以安全的方式替换到SQL语句,使用的是PreparedStatement的预编译机制。​时,参数值会直接替换到SQL语句,需要注意防止SQL注入攻击的风险。需要注意的是,使用​。​是安全的占位符,适合用于大部分情况下,并且推荐在编写MyBatis SQL语句时使用​。​是字符串替换的占位符,适合用于一些特殊的需求,但需要注意防止SQL注入攻击。​是字符串替换的占位符,它直接将参数的字符串值替换到SQL语句。​进行占位符的标识,而是直接使用了​。​下面是一个使用​​。
Mybatis#和$的区别(通俗简单易解版)
一勺菠萝丶的博客
06-12 513
和的标记。了解这两种方式的区别非常重要,因为它们在安全性和功能上有明显的不同。我们将通过示例来说明这些差异,并提供实用的建议,以帮助开发者选择适当的方式,以确保应用程序的安全性和效率。
mybatis的#和$使用和区别
m0_61682705的博客
07-03 354
MyBatis是一种基于Java的持久层框架,用于将数据库操作和Java对象之间的映射进行处理。在MyBatis,#和$符号是用于SQL语句的占位符。在使用符号时,需要注意一些风险,例如如果使用不当,可能会导致SQL注入攻击。因此,建议在使用符号时,对参数值进行严格的检查和过滤处理。
mybatis#和$有什么不同
m0_73878473的博客
01-04 841
#和$两者含义不同 #会把传入的数据都当成一个字符串来处理,会在传入的数据上面加一个双引号来处理。 而$则是把传入的数据直接显示在sql语句,不会添加双引号。 两者的实现方式不同 1、$作用相等于是字符串拼接 2、#作用相当于变量值替换 #和$使用场景不同 1、在sql语句,如果要接收传递过来的变量的值的话,必须使用#。因为使用#是通过PreparedStement接口来操作,可以防止sql注入,并且在多次执行sql语句时可以提高效率。 2、$只是简单的字符串拼接而已,所以要特别小心sq
MyBatis#和$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 1556
#{}和${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
关于mybatis#和$的区别,以及什么时候我们要用$
qq_62462081的博客
03-31 1107
关于mybatis#和$的区别,以及什么时候我们要用$,怎么防止$的sql注入
mybatis#与$的区别、一二级缓存以及mysql隔离级别、mybatis与hibernate区别
weixin_50643050的博客
06-06 912
1.${} 就是字符串替换。直接替换掉占位符。$方式一般用于传入数据库对象或固定变量,例如传入表名,例如字段名 2.使用 ${} 的话会导致 sql 注入。什么是 SQL 注入呢?比如 select * from user where id = ${value} 3.value 应该是一个数值吧。然后如果对方传过来的是 001 and name = tom。这样不就相当于多加了一个条件嘛?把SQL语句直接写进来了。如果是攻击性的语句呢?001;drop table user,直接把表给删了。
java面试题(18):mybatis#和$的区别
u013938578的博客
01-05 484
默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句插入一个不改变的字符串。在mybatis#和$的主要区别是:#传入的参数在SQL显示为字符串,#方式能够很大程度防止sql注入;$传入的参数在SqL直接显示为传入的值,$方式无法防止Sql注入。#传入的参数在SQL显示为字符串(当成一个字符串),会对自动传入的数据加一个双引号。$传入的参数在SqL直接显示为传入的值。
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
基于Hive和Hadoop的哔哩哔哩网站分析系统
图南的博客
09-27 678
本项目是一个基于大数据技术的哔哩哔哩平台分析系统,旨在为用户提供全面的哔哩哔哩视频数据和深入的用户行为分析。系统采用 Hadoop 平台进行大规模数据存储和处理,利用 MapReduce 进行数据分析和处理,通过 Sqoop 实现数据的导入导出,以 Spark 为核心进行高效的数据处理。整个系统结合了大数据处理技术,为用户提供精准的内容推荐和深入的用户兴趣分析,帮助平台更好地了解视频趋势和用户需求。
Spring Cloud全解析:服务调用之OpenFeign集成OkHttp
Lxn2zh的博客
09-30 626
HTTP连接需要进行TCP三次握手,是一个比较耗时的操作,一般我们不直接使用HttpURLConnection,而是使用HttpClient/okHttp等支持连接池的客户端工具,以Feign集成OkHttp为例。OpenFeign本质是HTTP来进行服务调用的,也就是需要集成一个Http客户端。默认是HttpURLConnection方式,也就是jdk提供的最原始的那个。要开启OkHttp ,还需要在YML 添加开启配置项,默认是关闭的。使用的是Client接口来进行请求的。
spring-boot 整合 mybatis
m0_72168501的博客
09-29 471
spring boot 整合 mybatis
Java内存布局
最新发布
阿呆的专栏
10-01 704
64位 JVM 不启用指针压缩时:Object Header 大小是16字节。64位 JVM 启用指针压缩时(默认):Object Header 大小是12字节。32位 JVM:Object Header 大小是8字节。JVM在默认情况下启用指针压缩,但如果堆内存超过32GB,就会禁用指针压缩。32GB是压缩指针的最大寻址范围。超过32GB的堆内存,压缩指针带来的性能提升并不显著,而且需要解压指针反而可能增加开销。
C#基础:掌握控制流语句,构建灵活的程序逻辑
学习和分享
09-28 303
在C#,控制流语句是用来控制程序执行流程的重要部分。它们允许你根据条件执行不同的代码块,或者重复执行某些代码块直到满足特定条件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值