MyBatis中${ }与#{ }有什么区别?

最新推荐文章于 2023-09-13 17:35:42 发布
最新推荐文章于 2023-09-13 17:35:42 发布
阅读量352 收藏
点赞数
分类专栏: MyBatis

1、#{  }预编译处理,MyBatis在处理#{  }时,它会将sql中的#{  }替换为,然后调用PreparedStatement的set方法来赋值;

2、${  }字符串替换, MyBatis在处理${  }时,它会将sql中的${  }替换为变量的值

注意:使用${  }会导致 sql注入,不利于系统的安全性!

SQL注入:就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。常见的有匿名登录(在登录框输入恶意的字符串)、借助异常获取数据库信息等

应用场合:

1、#{  }:主要用户获取DAO中的参数数据。在映射文件的SQL语句中出现#{ }表达式,底层会创建预编译的SQL;

2、${  }:主要用于获取配置文件数据,DAO接口中的参数信息。当$出现在映射文件的SQL语句中时,创建的不是预编译的SQL,而是字符串的拼接,有可能会导致SQL注入问题.所以一般使用$接收dao参数时,这些参数一般是字段名,表名等,例如order by {column}。

注:

${}获取DAO参数数据时,参数必须使用@param注解进行修饰 ,或者  使用下标 或者 参数#{param1}形式

#{}获取DAO参数数据时,假如参数个数多于一个可有选择的使用@param


--------------------- 
作者:为生活而Coding 
来源:CSDN 
原文:https://blog.csdn.net/weixin_42759709/article/details/83015890 
版权声明:本文为博主原创文章,转载请附上博文链接!

mybatis中#{}和${}的区别

1.将传入的数据 都当成一个字符串,会对 自动传入的数据 加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".
  
2. $将传入的数据直接显示生成在sql中。(对传入的值不做修改。不会像#{ }那样给参数加 双引号)。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为order by 111。 如果传入的值是id,则解析成的sql为order by id.
  
3. #方式能够很大程度防止sql注入。
  
4.$方式无法防止Sql注入。

5.$方式一般用于传入数据库对象,例如传入表名.
  
6.一般能用#的,就别用$.

MyBatis排序时使用order by 动态参数时需要注意,用$而不是#

字符串替换
默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用:
ORDER BY ${columnName}
这里MyBatis不会修改或转义字符串。

重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。

 

我觉得#与$的区别最大在于:#{} 传入值时,sql解析时,参数是带引号的,而${}穿入值,sql解析时,参数是不带引号的。

一 : 理解mybatis中 $与#

    在mybatis中的$与#都是在sql中动态的传入参数。

    eg:select id,name,age from student where name=#{name}  这个name是动态的,可变的。当你传入什么样的值,就会根据你传入的值执行sql语句。

二:使用$与#

   #{}: 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符 。

   ${}: 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段 将会进行变量替换。

  name-->cy

select id,name,age from student where name=#{name}   -- name='cy'

select id,name,age from student where name=${name}    -- name=cy

 

sql语句中#{},表示一个占位符。

MyBatis中${}与#{}区别


#{}

预编译SQL,类似于JAVA的预编译,例如:

String sql = "insert into info(name,age) values(?,?)";

PreparedStatement sta = con.prepareStatement(sql);

sta.setString(1, “张三”);

sta.setInt(2, 10);

只不过默认情况下会把参数当做字符串而自动添加一个双引号,例如:order by #{id},当传入的值是10时则为order by “10”

凡是用到table、column名字的地方,都不能用#。例如:insert into/select/delete/order by等这些后面是紧跟table名字和column名字的,这些名字是不允许添加引号的。

优点在于:防止SQL注入。

 

${}

不会预编译,原样输出,不会额外添加任何符号。例如:order by ${id},当传入的值是10时则为order by 10

缺点:可能发生SQL注入问题。

 

#{}扩展JdbcType

在执行SQL时MyBatis会自动通过对象中的属性给SQL中参数赋值,它会自动将Java类型 转换成 数据库的类型

而一旦传入的是null ,程序就无法准确判断这个类型应该是什么(是Integer?是VARCHAR?还是别的?),就有可能将类型转换错误从而报错。加入jdbcType正是为了解决这样的报错。

说白了,就是从数据库中取出记录后,由于数据库的数据类型JAVA的数据类型不一致,需要针对特定数据的特定数据类型指定对应的JAVA类型,这就是javaType。

数据库的数据类型

BIT

FLOAT

CHAR

TIMESTAMP

TINYINT

REAL

VARCHAR

BINARY

SMALLINT

DOUBLE

LANGVARCHAR

VARBINARY

INTEGER

NUMBERIC

DATE

LOANGVARBINARY

BIGINT

DECIMAL

TIME

NULL

OTHER

BLOB

CLOB

BOOLEAN

UNDEFINED

NVARCHAR

NCHAR

NCLOB

CURSOR   

方向:从Java类型转变成数据库类型。

#{}扩展javaType

  JDBCType                              JavaType

    CHAR                                   String

    VARCHAR                            String

    LONGVARCHAR                  String

    NUMERIC                             java.math.BigDecimal

    DECIMAL                              java.math.BigDecimal

    BIT                                        boolean

    BOOLEAN                            boolean

    TINYINT                                byte

    SMALLINT                            short

    INTEGER                              int

    BIGINT                                  long

    REAL                                    float

    FLOAT                                  double

    DOUBLE                            double

    BINARY                             byte[]

    VARBINARY                     byte[]

    LONGVARBINARY         byte[]

    DATE                             java.sql.Date

    TIME                            java.sql.Time

    TIMESTAMP                java.sql.Timestamp

    CLOB                        Clob

    BLOB                        Blob

    ARRAY                        Array

    DISTINCT                     mapping of underlying type

    STRUCT                   Struct

    REF                               Ref

    DATALINK                java.net.URL
--------------------- 
作者:弱即罪 
来源:CSDN 
原文:https://blog.csdn.net/attack_breast/article/details/88039493 
版权声明:本文为博主原创文章,转载请附上博文链接!

春卷同学
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java Mybatis${ } 和 #{ }的区别使用详解
08-18
主要介绍了Mybatis${ } 和 #{ }的区别使用详解,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Mybatis下动态sql##$$区别讲解
08-26
今天小编就为大家分享一篇关于Mybatis下动态sql##$$区别讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
浅谈mybatis#$区别
09-02
下面小编就为大家带来一篇浅谈mybatis#$区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
mybatis#{}和${}的区别
勿视人非 的专栏
05-21 3876
1. 取值范围不同 MyBatis既可以获取执行SQL时插入的请求参数,也可以从主配置文件加载的配置文件获取配置参数。 #{}只能获取请求参数的值,无法获取配置参数。 ${}在MyBatis初始化时能获取配置参数,如果没有,执行时再获取请求参数。 2. 处理方式不同 #{} 如果SQL只有#{}或者可以被配置参数替换的${},那么在初始化时#{}就被解析成了占位符?。 如果SQL有动态标签(例如if,where),或者无法被配置参数替换的${},那么#{}在执行SQL时才会被替换成占位符?。#{}的
mybatis#{}与${}的区别详解
09-30 339
mybatis#{}与${}的区别详解
Mybatis使用ognl表达式两种格式: #{} 和 ${}的区别
weixin_45071766的博客
08-03 608
#{} : 占位符:通过praparedStatment对象预编译处理 pojo对象 : #{对象的属性名} – 解析pojo的属性 基本数据类型 : #{随便写什么都对} – 解析基本类型数据 ${} : 拼接符:sql拼接,通过statement对象处理,没有预编译处理,有sql注入的风险 pojo对象 : ${对象的属性} 基本数据类型 : {value} – 固定格式,只能写value 注意 : ${} 使用时要套上" "双引号!!! ...
OGNL 表达式
m0_49261516的博客
10-09 7820
mybatis的OGNL表达式
MyBatis#{}和${}的区别
m0_67683346的博客
02-28 4438
MyBatis#{}和${}的区别
Mybatis${}和#{}区别
web18484626332的博客
08-02 8529
动态sql是mybatis的主要特性之一,在mapper定义的参数传到xml之后,在查询之前,mybatis会对其进行动态解析。mybatis为我们提供了两种支持动态sql的语法#{}以及${}提示以下是本篇文章正文内容,下面案例可供参考。...
Mybatis常问:#{}与${}的区别
zjjcchina的博客
06-06 2028
查询到数据才可以是登录成功,否则表示登陆失败,但是会有这么一种情况,我们的SQL语句是由我们拼接的,如果用户故意输入可以让后台解析失败的字符串,这就是SQL注入,例如我们输入密码,输入 '''' ' or 1=1'' 这样,他会在后台进行拼接成select count(1) from table where username = 'username' and password = '' or 1=1;由结果可以看出,我们在没有密码的情况下依旧获取到了数据库的私密信息,由此可见${}存在很大的安全隐患。
Mybatis#{}和${}传参的区别#$区别小结
09-02
主要介绍了Mybatis#{}和${}传参的区别#$区别小结 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
详解Mybatis${} 和 #{}区别与用法
08-18
主要介绍了Mybatis${} 和 #{}区别与用法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
MyBatis获取参数值的两种方式#{}和${} 以及 获取参数值的各种情况
weixin_55772633的博客
09-13 1118
在 SQL 语句使用 #{},MyBatis 会自动将参数值进行预编译处理,防止 SQL 注入攻击,并且可以处理各种类型的参数(如字符串、数字、日期等)。但是#{}使用占位符赋值的方式拼接sql,此时为字符串类型或日期类型的字段进行赋值时,可以自动添加单引号。使用arg或者param都行,要注意的是,arg是从arg0开始的,param是从param1开始的。因此只需要通过${}和#{}访问map集合的键就可以获取相对应的值,注意${}需要手动加单引号。MyBatis获取参数值的两种方式:${}和#{}
MyBatis #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1140
1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
一文解惑mybatis#{}和${}
一个菜鸡的博客
07-19 3281
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
mybatis#{}和${}的区别
Zhangsama1的博客
08-27 4597
​1:尽量使用#{},只要能使用#{}解决,尽量使用#{}​2:表名作为参数,使用order by排序的时候使用${}3:多参数的时候尽量使用@Param注解,@Param注解作用为给参数命名,命名后即可根据名字得到对应的参数值​。...
基于TC72(SPI接口)温度传感器、STM32F103C8T6、LCD1602、FREERTOS的温度采集proteus仿真
最新发布
05-21
spi
mybatis#{}和${}有什么区别
09-04
MyBatis ,SQL 语句是通过 Mapper 接口与 XML 文件或注解对应的方式实现的。通过定义 Mapper 接口,可以将一系列的 SQL 语句与 Java 代码进行绑定,并通过相应的方法来调用执行。 MyBatis 还提供了强大的缓存...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值