详解Mybatis中#和$的区别

已于 2022-09-21 11:52:18 修改
阅读量420 收藏 1
点赞数 1
文章标签: mybatis 数据库 java
于 2022-09-21 10:25:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Suphans/article/details/126965382
版权

目录

1.Mybatis概述

2.问题语句示例:

3.语句问题分析:

4.#{}与${}底层实现区别分析

5.总结区别:

1.Mybatis概述

        Mybatis是一个内部封装了JDBC的框架,主要用于数据持久化,也就是管理数据库操作语句.在对SQL语句做一定的操作处理后,将sql提交到数据库(Mysql),可以使用#{}和${}进行部分值的传递,但这两者有区别.

2.问题语句示例:

在xml文件中有如下语句(伪代码,主要是sql语句)

#语句一
<select >
    select id,name,password from user where id=#{id}
</select>

#语句二
<select>
    select id,name,password from user where id=${id}
</select>

上述两条语句执行都会成功返回数据.(其中id是数值型数据,例如int,long).

而在如下代码中

#语句一
<select>
    select id,name,password from user where name=#{name}
</select>

#语句二
<select>
    select id,name,password from user where name=${name}
</select>

语句一会执行成功,而语句二则会执行报错,且报错语句为  1054 - Unknown column '李泽天' in 'where clause' ('李泽天'为name字段的某一个值).其中name为字符类型数据,.

3.语句问题分析:

       在SQL语句中,除了关键词、数值、运算符、函数名等固定的内容以外,所有内容都会被视为某个名字,例如:表名、字段名或其它自定义的名称(例如表名.索引名等).第二部分语句的报错就是因为传过去sql的字段name为字符类型,导致 '李泽天' 被作为了字段名进行解析,由于user表中没有这个字段所以进行了报错.对于${}传递的数值类型的id值,则不会被视为某个名字,因此不会有问题.

4.#{}与${}底层实现区别分析

        之所以会上述代码段会出现差别,底层原因是因为mysql对#{}与${}的处理不同.MySQL处理SQL语句时,会经过词法分析、语义分析,然后再执行编译,最后执行.

        在Mybatis中,使用#{}格式的占位符时,使用的 JDBC 对象是PreparedStatement 对象.   在底层实现时,使用预编译的处理机制,先对传递的值的位置进行占位,位置中的东西不会经过编译处理,只会被认作是值,在sql执行时再代入!由于采用了预编译的做法,所有值都不用考虑数据类型的问题,只能表示SQL语句中的某个值,而不能表示其它内容!预编译是安全的,不会出现SQL注入问题

        使用${}格式的占位符时,使用的 JDBC 对象是 Statement对象..在底层实现时 ,会先将值拼接到原SQL语句中,然后再执行词法分析、语义分析,然后再执行编译,最后执行.  由于不是预编译的,所以可以表示SQL语句中的任何片段,只需要保证拼接起来后可以通过编译即可 , 但除了数值类型,其他数据类型都需要用 单引号' ' 框起来(需要注意的是,单引号的意思并不是表明引号中的内容为字符串,而是起到一个占位的作用,占位的区域内容不参与编译,,而只在执行时带入).  由于是先代入值再执行编译相关流程,所以,代入的值是可以改变语义的,是存在SQL注入风险的

5.总结区别:

#{} :        

  1. 使用的 JDBC 对象是PreparedStatement,
  2.  经过预编译处理
  3. 只能传递值
  4. 安全,不会出现SQL注入风险

${}:

  1. 使用的JDBC对象是 Statement对象.
  2. 需要完整经过SQL语句处理流程
  3. 可以传递任意部分内容
  4. 不安全,存在SQL注入风险

        

#爱屋及乌
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MyBatis#{}和${}的区别详解
09-01
MyBatis框架,`#{}`和`${}`是两种不同的占位符,它们各自有不同的用途和特性。了解它们的区别对于编写安全、高效的SQL语句至关重要。 首先,`#{}`是预编译参数的表示方式,它会被MyBatis转化为...
浅谈Mybatis $与#的差异
hayhing的博客
08-20 345
1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'.  2 $是将传入的数据直接显示生成sql语句,eg:select id,name,age from student w...
MyBatis#{}和${}的区别
weixin_44455654的博客
12-09 992
#{} #{}是一种占位符的方式把参数部分用占位符?代替。 动态解析为: 解析前:select * from user where name = #{name} 解析后:select * from user where name = ‘姓名’ 而传入的参数将会经过PreparedStatement方法的强制类型检查和安全检查等处理,最后作为一个合法的字符串传入。 ${} ${}是一种字符串拼接的方式。 解析前:select * from user where name = ${name} 解析后:se
MyBatis${} 和 #{} 有什么区别
分享Java技术知识,共同成长进步!
09-14 5646
${} 和 #{} 都是 MyBatis 用来替换参数的,它们都可以将用户传递过来的参数,替换到 MyBatis 最终生成的 SQL ,但它们区别却是很大的,接下来我们一起来看。 1.功能不同 ${} 是将参数直接替换到 SQL ,比如以下代码: 最终生成的执行 SQL 如下: 从上图可以看出,之前的参数 ${id} 被直接替换成具体的参数值 1 了。 而 #{} 则是使用占位符的方式,用预处理的方式来执行业务,我们将上面的案例改造为 #{} 的形式,实现代码如下: 最终生成的 S
MyBatis——谈谈占位符(#、$)的理解与使用
热门推荐
★★光亭★★
03-02 2万+
MyBatis——谈谈占位符(#、$)的理解与使用
Mybatis】深度解析MyBatis#和$的差异
最新发布
AliceNo的博客
01-03 1875
MyBatis,SQL语句的构建是一个关键的环节,而参数的传递则是其一个重要的考虑因素。在MyBatis,我们通常使用和两种不同的参数替换方式。这两种方式在SQL语句的执行有着不同的作用和安全性考虑。在本文,我们将深入探讨和的区别,以及它们在实际应用的使用场景和注意事项。在MyBatis选择合适的参数替换方式对于应用程序的性能和安全性至关重要。提供了一种预编译的方式,有效防范了SQL注入攻击,是一个更为安全的选择。而则是直接将参数值拼接到SQL语句,需要谨慎使用以防止潜在的安全风险。
详解Mybatis的 ${} 和 #{}区别与用法
08-18
Mybatis的 ${} 和 #{}区别与用法详解 Mybatis 是一个基于 Java 的持久层框架,它提供了一个简单的方式来进行数据库操作。在 Mybatis ,使用 ${} 和 #{} 两种方式来传递参数,但它们之间有着很大的区别。 ${} ...
Mybatis之#{}与${}的区别使用详解
08-19
Mybatis之#{}与${}的区别使用详解 Mybatis是一款流行的持久层框架,它提供了两种方式来从数据库获取数据,即#{}和${}。这两种方式都可以用来从数据库获取数据,但是它们有着不同的使用场景和优缺点。 #{}的...
Mybatis#{}与${}的区别详解
08-25
Mybatis#{}与${}的区别详解 Mybatis 的 #{} 与 ${} 是两个不同的占位符号,用于实现动态 SQL,两者的主要区别在于防止 SQL 注入的能力。#{} 能够很大程度防止 SQL 注入,而 ${} 方式无法防止 SQL 注入。 #{} ...
详解mybatis #{}和${}的区别、传参、基本语法
08-18
MyBatis#{}和${}的区别、传参、基本语法 MyBatis是一个基于Java的持久层框架,它提供了一个强大的SQL映射机制,能够将Java对象与数据库表之间建立映射关系。在MyBatis,#{}和${}是两个非常重要的符号,它们用于...
mybatis #与$的区别
qq_40026782的博客
12-25 256
在之前我对mybatis的#与$的理解,就是#能够防止sql注入,而$是可能会产生sql注入的问题。也就是说#传入参数的时候会给我们的参数加上引号,当参数传入。 但是由此的面试 有面试官问我他们的区别的时候我说了防sql注入,但是不全面。所以我请教了他。还有关于预编译的情况,对于#,虽然能够防止sql注入,但是它只是预编译,然后才会把数据插入sql语句,所以在安全要求不高、要求速度的情况下
Mybatis#和$的区别
伏颜的博客
07-11 1万+
Mybatis#和$的区别
mybatis ${}和#{}的区别 以及底层原理
hjfalz的博客
10-08 2193
${}: 不会自动加 ' ',如果传入参数为简单类型,那么必须写 ${value},如果是对象,写的是${属性名}; 底层解析的时候只要sql语句包含 ${ } ,在创建cofigration对象的时候,这条sql就会被解析成动态类型的语句,底层不会把 ${ } 转成 ?(不做处理),只会在使用Mapper接口代理对象进行数据操作的时候把#{ }转成 ?,把${ }转成mapper接口的参数值,所以会存在SQL注入的问题 #{}: 对于字符串会自动加 ' ',如果传入参数为简...
mybatis的foreach条件参数过多时,#和$效率比较
xiaozhegaa的博客
01-22 2389
背景 最近对mybatis的in查询做优化时,看到一个有趣的方法,使用外部拼接好查询条件,然后用$符合,直接替代了mybatis内部foreach,特地在本地上做个评测 看到一篇文章,当foreach条件参数过多的时候,采用外部拼接的方式能提升mybatis,特地在本地做了个实验 条件 in 查询条件为1000个,去驱动数据表查询 环境准备 mysql语句 CREATE TABLE `workexperience` ( `id` int(11) NOT NULL AUTO_INCREMENT, `c
java面试题 Mybatis#和$的区别
樂小伍
10-16 1161
Mybatis#和$的区别 https://www.cnblogs.com/wslook/p/9185448.html #{}:占位符号,可以防止sql注入(替换结果会增加单引号‘’),相当于 ? 占位符 ${}:sql拼接符号(替换结果不会增加单引号‘’,like和order by后使用,存在sql注入问题,需手动代码过滤) 能使用 #{ } 的地方就用 #{ } 首先这是为了性能考虑...
mybatis的#{}和${}的详细区别和底层实现
最秃不过程序员的博客
08-17 919
mybatis的#{}和${}的区别和底层实现 ${} (Statement实现): 1、只是简单的替换,传递的参数会被当成sql语句的一部分(不能防止sql注入) 2、建议like和order by后使用 #{} (PreprareStatement实现): 1、解析为一个 '?'占位符号,会对自动传入的数据加一个双引号(可以防止sql注入) 预编译的机制:预编译是提前对SQL编译之前进行预编译,而其后注入的参数将不会再进行编译。因为SQL注入是发生在编译的过程,因为恶意注入了某些特殊字符,最后被编
spring底层原理(一)
LJJZJ的博客
01-01 1万+
1.关于spring容器: spring容器是Spring的核心,该 容器负责管理springjava组件, ApplicationContext ctx = new ClassPathXmlApplicationContext(“bean.xml”);//这种方式实例化容器,容器会自动预初始化所有Bean实例 ctx.getBean(“beanName”); ApplicationC...
mybatis#和$在使用上有哪些区别
hefk688的博客
09-08 4153
mybatis#和$的区别是什么 1、传入的参数在SQL显示不同 #传入的参数在SQL显示为字符串(当成一个字符串),会对自动传入的数据加一个双引号。 例:使用以下SQL select id,name,age from student where id =#{id} 当我们传递的参数id为 "1" 时,上述 sql 的解析为: select id,name,age from student where id ="1" $传入的参数在SqL直接显示为传入的值 例:使用以下SQL select id,n
mybatis深入理解之#与$区别(十)
Jay的博客
08-01 171
mybatis 使用 Mapper.xml里面的配置进行 sql 查询,经常需要动态传递参数,例如我们需要根据用户的姓名来筛选用户时,sql 如下: select * from user where name = "Jack"; 上述 sql ,我们希望 name 后的参数 “Jack” 是动态可变的,即不同的时刻根据不同的姓名来查询用户。在 Mapper.xml文件使用如下的 sql 可以实现动态传递参数 name: select * from user where name = #{name};

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值