用#{}和 ${}获取传参的区别(第一次写博客,写博客的目的是用于在学习过程中遇到的困惑,理解后并记录下来,以便忘记了,可以方便学习。)

最新推荐文章于 2024-07-22 14:36:59 发布
最新推荐文章于 2024-07-22 14:36:59 发布
阅读量227 收藏 1
点赞数 1
分类专栏: sql 文章标签: mysql 数据库 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Self_discipline8/article/details/110430762
版权

用#{}和 ${}获取传参的区别

其实区别很简单的,举两个例子大家就会明白的。
①写一句SQL-例如:

select * from student where name= "pcqstart";

这句话而言,需要写成

select * from ${tableName} where user_code = #{userName}

所以,$符是直接拼成sql的 ,#符则会以字符串(加“”双引号)的形式 与sql进行拼接。
②例子:
说明:#{}能够更安全的取出参数, $ {}取出的参数不安全,尽量不要使用${}取参数
原因:

A:select * from table where name = ${parameter}
B:select * from table where name = #{parameter}

若parameter的值为: ‘’ or 1=1
A的sql就解析为

select * from student where name = '' or 1=1  //注入成功,

// 因此后面就可以执行or 1=1,执行成功,这就是sql注入。
B的sql就解析为

select * from student where name = ?;
select * from student where name =' '' or 1=1 ' //注入失败

// 这里’ ‘’ or 1=1 ’ 就成为了一个字符串参数,而没有将or、=解析成为sql的运算符。

总结:
1、$ {}:
①直接获取传输过来的内容,直接输出;
②向数据库输入表名或者列名时才使用。
③配置DataSources数据源等信息时,也是使用${};
2、#{}:
①解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数?占位符 。
3、说明:
①如果为int,则直接输入int型,如果为字符串型则直接加“”后输入;
②’or 1=1 #'将作为一个字符串,=将不再作为运算符。

二拐煎饼侠
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
详解mybatis #{}和${}的区别传参、基本语法
08-18
MyBatis#{}和${}的区别传参、基本语法 MyBatis是一个基于Java的持久层框架,它提供了一个强大的SQL映射机制,能够将Java对象与数据库表之间建立映射关系。在MyBatis,#{}和${}是两个非常重要的符号,它们用于...
java学习-java的数组定义和传参
12-01
java学习-java的数组定义和传参
说说用#{},和 ${}传参区别
shizhk_boke
01-03 1013
说说用#{},和 ${}传参区别: 1、使用#传入参数是,sql语句解析是会加上‘’,是单引号。 比如  select * from table where name = #{name} ,传入的name为小李,那么最后打印出来的就是  select * from table where name = ‘小李’ 就是会当成字符串来解析,#{}传参能防止sql注入, 如果你传入的
#{}与${}在sql传参区别
java_cch的博客
12-05 301
#{}与${}在sql传参区别安全性不同 安全性不同 #{}传参能有效防止sql注入的问题,#{password}传参预编译的时候id是用‘?’站位符代替的。 而${paassword}不是
用#{},和 ${}传参区别
weixin_30600503的博客
05-12 178
用#{},和 ${}传参区别: 使用#传入参数是,sql语句解析是会加上"",比如 select * from table where name = #{name} ,传入的name为小红,那么最后打印出来的就是 select * from table where name = ‘小红’,就是会当成字符串来解析,这样相比于$的好处是比较明显对的吧,#{}传参能防止sql注...
Mybatis#{}和${}传参区别及#和$的区别小结
u013161431的博客
08-07 922
最近在用mybatis,之前用过ibatis,总体来说差不多,不过还是遇到了不少问题,再次记录下, 比如说用#{},和 ${}传参区别, 使用#传入参数是,sql语句解析是会加上"",比如 select * from table where name = #{name} ,传入的name为小李,那么最后打印出来的就是 select * from table where name
Linux 命令的 $() 和 ${} 的区别
布袋和尚
06-24 2947
小括号里面是 Linux 命令,作用就是执行里面的命令后返回执行的结果;和 ``(反引号)作用一样。 与 ``(反引号)都是用来作命令替换的。命令替换与变量替换差不多,都是用来重组命令行的,先完成引号里的命令行,然后将其结果替换出来,再重组成新的命令行。栗子:意思是执行 date 命令,返回执行结果给变量 todaydate,也可以为: 比如: 其实是要执行 里面的命令 ,然后用执行的结果替换 内容。 等价于: 变量替换,大括号里面是变量,取变量的值替换 。一般情况下, 与 是没有区别的,但是用
浅谈vue$event理解和框架在包含默认值外传参
10-14
在Vue.js框架,$event是一个特殊的变量,用于在内联处理器传递原始的DOM事件。这在处理组件交互和事件传播时非常有用。本文将深入探讨$event的使用以及如何在包含默认值的情况下传递额外参数。 首先,当我们在...
MyBatis基础入门4:#{}和${}传参的使用区别
weixin_43183850的博客
05-02 3123
mybatis传参的两种方式:#{}和${}
#{}和¥{}的区别
weixin_44451005的博客
10-14 3652
实例: #{}的情况: select name form student where age=#{studentAge}; 参数studentAge=18 编译后 select name form student where age=?; ${}的情况: select name form student where age=${studentAge}; 参数studentAge=18 编译后 select name form student where age=18; 说明: 由上面的实例可见 1.
jsp页面使用EL表达式获取后台数据时,显示${}
有木的博客
03-07 2250
在使用SSM框架进行开发时,使用EL表达式进行jsp页面的动态处理。controller层将要显示在jsp页面上的数据放到ModelAndView里,在jsp页面直接使用${xxx},进行获取数据,运行项目发现前台未出现任何错误,但是页面未显示从数据库查出的数据,而是直接显示${xxx}。 解决办法: 一:查看controller层导ModelAndView的包是否正确,应该为: imp...
在js使用EL表达式获取后台数据方法
旭东怪的博客
06-08 1744
一、背景 有些同学喜欢在js代码,使用EL表达式获取后台的数据,虽然这种方法不是很提倡,但是还是可以实现的。 就本人来说,能在页面里面能全部用js代码的,最好全部用js代码实现。 二、实现方法 1、ssh框架 Controller层代码: package com.action; import org.springframework.stereotype.Controller; import com.opensymphony.xwork2.ActionSupp...
myBatis#{}和${}传参区别
一天过去不会再来
04-19 835
#{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #{id},如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”。${}将传入的数据直接显示生成在sql。如:order by ${id},如果传入的值是111,那么解析成sql时的值为order by 111, 如果...
JS使用${}获取数据
GuiBing_haonan的博客
01-05 2594
使用` ` 键 获取${}的数据,不是单引号。(注:使用英文,左上角的~键) $("button").click(function(){ $.get(`/try/ajax/demo_test.php?name=${username}`,function(data,status){ alert("数据: " + data + "\n状态: " + status); }); }); ...
mybatis碰到的问题:接收参数时,#{ } 接收不到而 ${ } 却能正确接收
heshangbukun的博客
11-15 4109
在mybatis了一个简单的sql并使用了注解的方式进行传值,代码如下: mapper.java void update(@Param("usercode") String usercode); mapper.xml 文件 update reward set 1=1 where usercode=#{usercode} 出现的问题:在sql获得传入的参数时,发现在控制台...
通过表名获取表的字段参数
weixin_42547014的博客
07-17 243
【Oracle】 select tc.COLUMN_NAME as fieldCode, tc.DATA_TYPE as dataType, cc.comments as fieldName from user_tab_columns tc, user_col_comments cc where tc.TABLE_NAME = cc.table_name and tc.COLUMN_NAME = cc.column_name and tc.Table_
MySQL:SELECT 语句
Zachyy的博客
07-20 405
MySQL ,可以使用 SELECT语句来查询数据。查询数据是指从数据库根据需求,使用不同的查询方式来获取不同的数据,是使用频率最高、最重要的操作。
测试开发面试题---MySQL
最新发布
m0_53302824的博客
07-22 946
索引是数据库管理系统用于提高数据检索速度的数据结构,它可以帮助快速定位数据不需要扫描全表。提高查询速度;唯一性约束,确保数据不会重复;辅助排序和分组;减少磁盘IO。
在Mybatis动态传参时,使用#{}和${}的区别是什么?
06-09
在 MyBatis ,`#` 和 `$` 都是用于参数的占位符,但是它们的作用是不同的。 `#` 是用来防止 SQL 注入攻击的,它会将参数值以安全的方式替换进 SQL 语句,相当于是预编译的 SQL 语句参数。使用 `#` 可以有效避免...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值