mybatis中${}、 #{}区别及应用场景

最新推荐文章于 2024-09-01 06:45:00 发布
最新推荐文章于 2024-09-01 06:45:00 发布
阅读量1k 收藏 3
点赞数 2
分类专栏: MyBatis

动态sql是mybatis的主要特性之一。在mapper中定义的参数传到xml中之后,在查询之前mybatis会对其进行动态解析

mybatis提供了两种支持动态sql的语法#{}${}

select * from t_user where username = #{username};

select * from t_user where username = '${username}';
select * from ${tablename}

username传参一致的话,这两种执行的结果是一样的,但是这两种方式在动态sql解析阶段的处理是不一样的。

 

1、#{}

在动态SQL解析阶段,#{}被解析为一个JDBC预编译语句(prepared statement)的参数标记符,把参数部分用占位符?代替。动态解析为:

select * from t_user where username = ? ;

传入的参数将会经过PreparedStatement方法的强制类型检查和安全检查等处理,最后作为一个合法的字符串 传入。(后面替换占位符的会是一个字符串)

 

2、${}

在动态SQL解析阶段,${}只会做简单的字符串替换,在动态SQL解析阶段将会进行变量替换,假如传递的参数为Alice,最终处理结果如下:

select * from t_user where username = 'Alice' ;

这样在预编译之前的sql语句已经不包含变量了,因此可以看出${} 变量的替换阶段 是在动态SQL解析阶段

 

3、#{} #{}两种方式对比

1)是否预防SQL注入

以上不同的处理方式可以看出,#{}预处理之后可以预防SQL注入

${}在预编译之前就已经被替换,有被注入的风险,如下例:

如果传入的username 为 a' or '1=1,那么使用${}处理后直接替换字符串的sql就解析为:

select * from t_user where username = 'a' or '1=1' ;  

//注意'1=1'永远为真。上面的SQL就变为了下面的
select * from t_user
//查出了很多本不应该,或者说没有权限查出来的数据

这样的话所有的用户数据就被查出来了,这样就属于SQL注入

 

如果使用#{},经过sql动态解析和预编译,会把单引号' 转义为 \' 那么sql最终解析为:

select * from t_user where username = "a\' or \'1=1 "; //这样会查不出任何数据,有效阻止sql注入

 

有的业务场景经常用到模糊查询,也就是like处理,推荐使用以下处理方式:

t_user.username like #username#

java代码里:

if (!StringUtil.isEmpty(this.username)) {

table.setUsername("%" + this.username + "%");

}

或者也可以使用数据库函数进行连接处理:

select  * from t_user u where username  like CONCAT('%', #username#, '%')

注意:以上就可以发现在某些特定场景下只能用${},比如order by 后的排序字段,表名、列名。因为需要替换为不变的常量。如果表名中使用#{}的话,会变成如下:

select * from #{tablename--> tablename传参为t_user  ---> 处理后变成 select * from 't_user',但是没有't_user'这样的表名,这时这句SQL就会报错了,order by 同理。

2)性能考虑

因为预编译语句对象可以重复利用,把一个sql预编译后产生的PreparedStatement对象缓存下来,下次对于同一个sql,可以直接使用缓存的PreparedStatement对象mybatis默认情况下,对所有的sql 进行 预编译,这样的话#{}的处理方式性能会相对高些。

总结:

能使用#{}的时候,尽量使用#{}

表名、order by的排序字段作为变量时,使用${}。



作者:滚滚大肥猫
链接:https://www.jianshu.com/p/bbeff97d41eb
来源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

MyBatis的${}和#{}
小景的博客
06-28 621
${}、#{}的使用举例: 后端Controller @RequestMapping(value = "/getStatisticsData", method = RequestMethod.GET, produces = "application/json;charset=utf8") public List<SearchResult> getStatisticsData(Long startTime, Long endTime, String argu) { Lis...
mybatis #{}与${}使用场景
timeless的博客
06-12 3669
${}哪边都能使用,只是存在sql注入风险,相当于直接拼接字符串,不对参数做任何处理。#{}会进行预编译,对参数进行处理,防止注入。对于SELECT id,name,age FROM student WHERE name = 参数;这样的语句如果传入参数anything’ OR ‘x’='x那么${}处理完就是SELECT id,name,age FROM student WHERE name =...
Mybatis——#{}和${}的区别
热门推荐
想着百万年薪努力的小赵
07-08 5万+
使用mybatis的时候我们会使用到#{}和${}这两个符号来为sql语句传参数,那么这两者有什么区别呢?#{}是预编译处理,是占位符,${}是字符串替换,是拼接符Mybatis在处理#{}的时候会将sql的#{}替换成?号,调用PreparedStatement来赋值 如: 设userName=yuze看日志我们可以看到解析时将#{userName}替换成了 ? 然后再把yuze放进去,外面加上单引号 设userName=yuze看日志可以发现就是直接把值拼接上去了 这极有可能发生sql注入,下面举了
MyBatis的#和$:深入解析与实战应用
最新发布
xycxycooo的博客
09-01 1300
MyBatis是一个持久层框架,它避免了几乎所有的JDBC代码和手动设置参数以及获取结果集。MyBatis通过配置文件或注解实现数据库字段与Java对象属性之间的映射。MyBatis的和占位符各有其适用场景。占位符用于预编译SQL语句,可以防止SQL注入攻击,性能较好;占位符用于直接替换SQL语句的参数值,存在SQL注入风险,但在需要动态生成SQL语句的情况下是必需的。希望通过本文的详细解析和示例代码,大家能更好地理解和的区别,并在实际项目正确使用它们。
mybatis#{}与#{}的区别
老张的博客
11-13 420
1、#{} 可以很大程度防止sql注入 2、${} 无法防止sql注入, 3、$一般用于传入数据库对象,例如传入表名 4、一般能用#号的别用$ 5、mybatis排序使用order by动态参数时注意使用$而不是# ...
Mybatis的#{}和#{}区别,及以模糊查询为例
破折号--的博客
12-04 2573
Mybatis的#{}和#{}区别,及以模糊查询为案例1.#{}与${}可以干什么2.区别1>2>3>    为什么呢?4>3.总结4.模糊查询案例1.使用#{ }进行模糊查询2.使用${ }进行模糊查询 1.#{}与${}可以干什么 Mybatis的Mapper.xml语句parameterType向SQL语句传参有两种方式:       1:#{ }: 可以接收简单类型值或者p
#{}和${}的区别和一些应用场景
qq_40833722的博客
09-08 1452
MyBatis的sql映射文件,分别使用#{}和${}符号获取参数值时有相同也有不同之处, 尽管#{}和${}都可以获得map的值或者pojo对象属性的值,这两者并不能完全等价,比如获取的参数值是表名的时候,#{}支持,${}不支持; 在分表/排序/防止sql注入等方面也不尽相同。   在下面的语句,如果 name 的值为 zhangsan,则两种方式无任何区别: select * fr...
MyBatis ${}和 #{}的正确使用方法(千万不要乱用)
08-18
MyBatis框架,${} 和 #{} 是两种不同的参数占位符,它们的使用方式和作用有明显的区别,对于SQL语句的安全性和效率有着重要影响。 1. #{} #{} 是预编译处理的方式,也被称为参数绑定或者预处理。在处理 #{ } ...
Mybatis$与#的区别, $的应用场景
04-23
Mybatis$和#都用于动态SQL语句的参数绑定,但它们之间有几个区别: 1. #用于预编译,$用于值传递。#会将参数放入预编译语句的占位符,可以避免SQL注入,但会使SQL语句无法重用;$将参数直接拼接进SQL,...
Mybatis#{}与${}的区别详解
08-25
#{} 和 ${} 都是 MyBatis 的占位符号,但是它们有着不同的特性和应用场景。#{} 能够防止 SQL 注入,而 ${} 方式无法防止 SQL 注入。在开发,需要根据实际情况选择合适的占位符号,以确保应用程序的安全性。
Mabitis的#与$符号区别及用法介绍
08-31
MyBatis,`#`和`$`符号在SQL动态语句扮演着不同角色,它们的主要区别和用法如下: 一、`#`与`$`的区别 1. `#{}`:MyBatis将`#{}`视为PreparedStatement的参数标记符。当SQL语句的`#{}`被解析时,它会被...
Mybatisselect、insert、update、delete用法总结
12-14
一、select用法示例 SELECT ST.STUDENT_ID, ST.STUDENT_NAME, ST.STUDENT_SEX, ST.STUDENT_BIRTHDAY, ST.CLASS_ID FROM STUDENT_TBL ST WHERE ST.STUDENT_ID = #{studentID} 这条语句就叫做‘getStudent,有一个String参数,并返回一个StudentEntity类型的对象。
MyBatis 的 #{} 和 ${} 的使用场景
kennyharris
03-17 1009
mybatis
MyBaits#{}和${}的真正区别,${}的使用场景
2401_85767411的博客
06-28 869
小编这些年深知大多数初级工程师,想要提升自己,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此我收集整理了一份《2024年Java全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!如果你需要这些资料,⬅专栏获取。
MyBaits#{}和${}的真正区别,${}的使用场景,#{}如何防止注入?
Java和Android架构
02-22 122
相关阅读:2T架构师学习资料干货分享来源:blog.csdn.net/Bb15070047748/article/details/107188167一、MyBatis${}和#{}的区别...
在哪些场合下适合使用${}哪些场合使用#{}
k_k_k_k_k_1027的博客
08-12 547
时,需要特别注意安全性问题,并在可能的情况下采取措施防止SQL注入攻击。因其预编译和自动转义的特性,通常是更安全的选择。
Mybatis#{}和${}
沐羽~的博客
08-27 2265
动态 sql 是 MyBatis 的主要特性之一,在 mapper 定义的参数传到 xml 之后,在查询之前 MyBatis 会对其进行动态解析。MyBatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 #{}和${}有什么区别? #{}: #{}是预编译处理,实现的是sql语句的预处理参数,Mybatis在处理#{}时,会将sql的#{}替换为 ? 号,调用PreparedStatement的set方法赋值;使用时不需要关注数据类型,Mybatis自动实现数据类型的转换,并且
mybatis 的 #{} 与 ${}
az44yao的专栏
07-10 697
1、在MyBatis 的映射配置文件,动态传递参数有两种方式:(1)#{} 占位符(2)${} 拼接符2、#{} 和 ${} 的区别(1)1)#{} 为参数占位符 ?,即sql 预编译 2)${} 为字符串替换,即 sql 拼接(2)1)#{}:动态解析 -> 预编译 -> 执行 2)${}:动态解析 -> 编译 -> 执行(3)1)#{} 的变量替换是在DBMS 2)${} 的变量替换是在 DBMS 外(4)1)变量替换后,#{} 对应的变量自动加上单引号 ‘’ 2)变量替换后,${} 对应的变量不
自己碰到的三个使用到${}的地方
zhong18813439470的博客
06-06 2007
自己碰到的三个使用到${}的地方
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值