mybatis中$和#的区别

于 2024-08-26 10:43:26 发布
阅读量213 收藏 2
点赞数 11
文章标签: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QQ1817117243/article/details/141558062
版权

在 MyBatis 中,$ 和 # 是两种不同的占位符,分别用于动态 SQL 中的字符串拼接和参数传递。它们的具体含义和使用场景如下:

# (占位符):

  • # 用于传递参数,主要是为了防止 SQL 注入。MyBatis 会将使用 # 占位符的参数作为预编译的参数传递给数据库。
  • 它会对参数进行适当的转义处理,确保安全性。在 SQL 执行时,参数会被替换为使用 JDBC 的 PreparedStatement 方式的参数。
  • 例子:
<select id="getUser" parameterType="int" resultType="User">  
    SELECT * FROM user WHERE id = #{userId}  
</select>

$ (字符串拼接):

  • $ 用于直接插入值,适合用于动态构建 SQL 语句的一部分。使用 $ 的时候,MyBatis 不会对输入进行转义处理。因此,如果输入的数据不安全,可能会导致 SQL 注入风险。
  • 它通常用于表名、列名或其他 SQL 关键字等,不能通过参数传递的动态部分。
  • 例子:
<select id="getUserByColumn" parameterType="string" resultType="User">  
    SELECT * FROM user WHERE ${columnName} = #{value}  
</select>

总结

  • 使用 # 来防止 SQL 注入,确保安全性,适用于大多数参数传递的场景。
  • 使用 $ 来直接拼接字符串,适用于动态 SQL 的构建,但要注意安全风险。

安全提示

在使用 $ 时,应确保插入的内容是可信的,避免用户输入直接拼接进 SQL 语句中,导致 SQL 注入漏洞。

Amagi.
关注
  • 11
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java Mybatis的 ${ } 和 #{ }的区别使用详解
08-18
Java Mybatis的 ${ } 和 #{ } 的区别使用详解 Java Mybatis 的 ${ } 和 #{ } 是两个不同的占位符,都是用于在 Mybatis 进行动态 SQL 语句的构建和参数传递。然而,这两个占位符在使用时有着极其重要的区别。 ...
mybatis$和#的区别以及各自的使用场景
2301_77760093的博客
03-14 1514
MyBatis ,$ 和 # 都是用于参数绑定的,但它们之间存在明显的差异,主要体现在参数的预处理方式和安全性上。
mybatis$和#号的区别
cainiaobulan的博客
06-05 2392
这两个符号在mybatis最直接的区别就是:#相当于对数据 加上 单引号,$相当于直接显示数据(只讨论字符串类型的)。 1、#对传入的参数视为字符串,也就是它会预编译,select * from user where name = #{name},比如我传一个aaa,那么传过来就是 select * from user where name = 'aaa'; 2、$将不会将传入的值进...
Mybatis$和#的区别
程序猿老白~的博客
04-16 181
MyBatis处理 #{ } 占位符,使用的 JDBC 对象是PreparedStatement 对象,执行sql语句的效率更高。
mybatis$和#注入的区别
qq_40312909的博客
08-18 266
#会进行预编译以?的形式拼接在sql: $会直接拼接在sql如下: SELECT * FROM xtech_brother_graph_log WHERE action_biz_code = 'teachers_day' and del_flag = "n" and action_type = ? group by target_work_no order by gmt_create desc
Mybatis $与#的区别
大鹏
08-10 1019
1 #是将传入的值当做字符串的形式, eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'. 2 $是将传入的数据直接显示生成sql语句 eg:select id,name,age from student where id =${id},当前端把id值1,传入到后台的时候,就相当于 select id,nam.
mybatis的$和#详解分析
易的博客
04-08 642
MyBatis#{}和${}的作用与区别_陈三千的博客-CSDN博客_mybatis${}有什么用 MyBatis#{}和${}的作用与区别 MyBatis#{}和${}的作用与区别_陈三千的博客-CSDN博客_mybatis${}有什么用 在mybatis#和$的主要区别是:#传入的参数在SQL显示为字符串,#方式能够很大程度防止SQL注入;$传入的参数在SQL直接显示为传入的值,$方式无法防止SQL注入。 1、传入的参数在SQL显示不同 #{} 将传入的参数(数据).
Mybatis $ 和 #千万不要乱用
嘻哈熊的专栏
08-02 810
2、${}: 主要用于获取配置文件数据, DAO 接口的参数信息, 当 $ 出现在映射文件的 SQL 语句时创建的不是预编译的 SQL, 而是字符串的拼接, 有可能会导致 SQL 注入问题. 所以一般使用 $ 接收 dao 参数时, 这些参数一般是字段名, 表名等, 例如 order by {column}。看了上面的区别介绍,相信大家其实都应该知道区别在哪里,我们的问题在哪里,其实就是 sql 在 in 的时候 ,里面的数据被加了两个双引号。所以导致部分数据查不到了。输出后,终于发现了问题在哪里。..
Mybatis#和$的区别
热门推荐
伏颜的博客
07-11 1万+
Mybatis#和$的区别
Mybatis $和#
m0_67401228的博客
04-21 214
Mybatis $和#千万不要乱用! 开头 这是一次代码优化过程发现的问题,在功能优化后发现部分数据查不到出来了,问题就在于一条sql上的#和$。 下图为两条sql: 从图上可以看出 wwlr.LabelId in(KaTeX parse error: Expected 'EOF', got '#' at position 33: …wlr.LabelId in(#̲{showLabels}),其…处理的方式是不一样的。 区别 1、#{ }是预编译处理,MyBatis在处理#{ }时,它会将sql
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
MyBatis ${}和 #{}的正确使用方法(千万不要乱用)
08-18
MyBatis框架,${} 和 #{} 是两种不同的参数占位符,它们的使用方式和作用有明显的区别,对于SQL语句的安全性和效率有着重要影响。 1. #{} #{} 是预编译处理的方式,也被称为参数绑定或者预处理。在处理 #{ } ...
农情采集系统手机app.zip农情采集系统手机app.zip
08-25
农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系统手机app.zip农情采集系
ssm331超市库存商品管理系统+jsp.zip
08-25
现代经济快节奏发展以及不断完善升级的信息化技术,让传统数据信息的管理升级为软件存储,归纳,集处理数据信息的管理方式。本超市库存商品管理系统就是在这样的大环境下诞生,其可以帮助管理者在短时间内处理完毕庞大的数据信息,使用这种软件工具可以帮助管理人员提高事务处理效率,达到事半功倍的效果。此超市库存商品管理系统利用当下成熟完善的SSM框架,使用跨平台的可开发大型商业网站的Java语言,以及最受欢迎的RDBMS应用软件之一的Mysql数据库进行程序开发。实现了商品基础数据的管理,员工管理,会员管理,商品管理,供应商管理,公告管理等功能。超市库存商品管理系统的开发根据操作人员需要设计的界面简洁美观,在功能模块布局上跟同类型网站保持一致,程序在实现基本要求功能时,也为数据信息面临的安全问题提供了一些实用的解决方案。可以说该程序在帮助管理者高效率地处理工作事务的同时,也实现了数据信息的整体化,规范化与自动化。
java高并发笔记pdf
最新发布
08-25
java高并发笔记pdf
PPAP文件资料-基于AIAG-IATF 16949-控制计划control plan
08-25
PPAP文件资料-基于AIAG/IATF 16949 一、PPAP 全套资料表格 模版 PSW Supplier List PFMEA PPK Process F low Chart MSA Report Lab Qualify Materia l Certificate Full Dimension report IMDS Report Control Plan Drawing 二、橡胶件PPAP文件 资料案例 三、金属PPAP文件资料案例
Mybatis$与#的区别, $的应用场景
04-23
#的区别是什么? Mybatis$和#都用于动态SQL语句的参数绑定,但它们之间有几个区别: 1. #用于预编译,$用于值传递。#会将参数放入预编译语句的占位符,可以避免SQL注入,但会使SQL语句无法重用;$将参数直接拼接进SQL,可以重用SQL语句,但有SQL注入的风险。 2. #可以自动进行类型转换,$不能自动转换。#会根据目标类型自动转换参数类型,$需要手动进行类型转换。 3. #可以在SQL使用占位符,$不能使用。#可以在SQL语句使用占位符进行模糊查询等操作,$只能直接拼接参数值。 因此,在使用Mybatis时,应根据具体的业务场景和需求选择使用#或$。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值