Mybatis中 ${param}与#{param}的区别和应用场景

最新推荐文章于 2024-05-22 01:54:13 发布
最新推荐文章于 2024-05-22 01:54:13 发布
阅读量947 收藏 3
点赞数 1
分类专栏: 数据库和缓存相关 文章标签: Mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WZH577/article/details/88108810
版权

为了安全,能用#的地方就用#方式传参,这样可以有效的防止sql注入攻击

1、#{变量名}可以进行预编译、类型匹配等操作,#{变量名}会转化为jdbc的类型

例:select * from tablename where id = #{id};

假设id的值为12,其中如果数据库字段id为字符型,那么#{id}表示的就是'12',如果id为整型,那么id就是12。

MyBatis会将#{id}解析为一个JDBC预编译语句的参数标记符,把参数部分用占位符?代替。动态解析为:

select * from tablename where id=?;

而传入的参数将会经过PreparedStatement方法的强制类型检查和安全检查等处理,最后作为一个合法的字符串传入。

2、${变量名}不进行数据类型匹配,直接替换

例:select * from tablename where id = ${id};

如果字段id为整型,sql语句就不会出错,但是如果字段id为字符型, 那么sql语句应该写成select * from table where id = '${id}'。

MyBatis只会做简单的字符串替换,在动态SQL解析阶段将会进行变量替换,动态解析为:

select * from tablename where id=12;

3、只可使用${变量名}的场景

如order by 后的排序字段,表名、列名,因为需要替换为不变的常量,则只可使用${}。

例:select * from #{tablename} where id = ${id};

如果表名中使用#{}的话传参为t_user,会变成select * from 't_user',没有这样的表名,这样的话就会报错了,order by 同理。

4、性能考虑

因为预编译语句对象可以重复利用,把一个sql预编译后产生的PreparedStatement对象缓存下来,下次对于同一个sql,可以直接使用缓存的PreparedStatement对象,mybatis默认情况下,对所有的sql进行预编译,这样的话#{}的处理方式性能会相对高些。

Wonder丶丶丶
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql $param与#param使用区别
09-08
两种常见的方法是使用`${param}`和`#{param}`,它们在MyBatis等框架尤其常见。这两种方式虽然都能实现参数替换,但它们在处理和安全方面存在显著差异。 `${param}`的使用方式更直接,它会将参数值原封不动地插入...
sql#{param} 、${param}两种形式区别
weixin_43744474的博客
05-26 667
项目开发过程,在mybaitis框架sql经常需要动态赋值,会出现#{param} 、${param}两种形式。,DBMS 不需要再次编译,越复杂的sql,编译的复杂度将越大,预编译阶段可以合并多次操作为一个操作。接下来,我们一起来看一个案例:根据用户的姓名来筛选用户信息,其用户姓名不确定,是动态变化的,SQL注入是发生在编译的过程,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。,如果传入的值是18,那么解析成sql时的值为。,如果传入的值是18,那么解析成sql时的值为。
Mybatis 传递参数的_paramter 的理解
weixin_30692143的博客
07-07 228
原因:以前在传递参数的时候,出现传递单个参数,有的时候用#{id} 可以成功,有的时候报错,只能改成#{_parameter} --------------------------------------------------------------------------------------------------------------------------- 分析: 参数的使用...
MyBatis】参数占位符 #{} 和 ${}
最新发布
qq_45875349的博客
05-22 989
#{}和${}区别详解
@Param 起别名个人理解
Saberxu的博客
09-26 493
单个参数可以不起别名,不起别名相当于进入到对象内部,可以直接用里面的属性 而多个参数必须起别名,不起别名不知道该进入哪个对象里面,所以每个参数要起一个别名,起别名是在对象的外部,要用对象的属性,必须用别名.属性 ...
mybatis示例用法(4)
ls_call520的专栏
01-13 381
mybatis示例用法 <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD MMapper w.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd"> <mapper namespace="...
MyBatis获取参数值的方式
Javaer000的博客
08-18 407
MyBatis获取参数值的方式
MyBatis使用$和#所遇到的问题及解决办法
09-01
MyBatis,$和#的使用是动态SQL的关键部分,它们决定了参数如何被处理和插入到SQL语句。下面将详细解释这两种符号的差异以及如何解决使用过程遇到的问题。 1. #{}与${}的区别: - #{ }:这是MyBatis的预...
Mybatis@Param的用法和作用详解
08-29
Mybatis@Param的用法和作用是本文的主要内容,下面我们将详细介绍@Param的用法和作用,以及与Spring@param的使用区别。 @Param的用法 -------- 在Mybatis,@Param注解的作用是给参数命名,参数命名后就能...
MybatisPlus #{param}和${param}的用法详解
09-08
MybatisPlus 是 Mybatis 的一个扩展工具包,它在 Mybatis 的基础上提供了更方便的数据操作功能,包括 CRUD 操作、批量操作...在实际开发,理解这两者的差异和应用场景,能够帮助我们编写更高效、更安全的 SQL 语句。
Mybatis使用@param注解四种情况解析
09-07
Mybatis框架,`@Param`注解是一个非常重要的元素,它用于给方法参数命名,使得Mybatis能够识别并正确地将Java方法的参数值映射到SQL语句的占位符。下面我们将详细探讨`@Param`注解在四种不同情况下的使用和...
MybatisPlus #{param}和${param}的用法
qq_31683583的博客
04-21 3702
作用 mybatis-plus接口mapper方法的注解(如@Select)或者xml(如)传入的参数是通过#{param}或者${param}来获取值。 区别 1.解析方式: #{param}:会进行预编译,而且进行类型匹配,最后进行变量替换,括号可以添加映射类型如 #{param,javaType=int,jdbcType=NUMERIC} ${param}:只实现字符串拼接,并不进行数...
Mybatis按照年、季度、月、日查询
已被格式化的叔叔
11-13 6913
一.参考链接: https://blog.csdn.net/beidaol/article/details/86079157(MyBatis按今天、本周、本月过滤查询) https://blog.csdn.net/qq_41456723/article/details/100805761(MyBatis(MySQL)-- 年|月|周时间范围内查询统计) https://blog.csdn.n...
Mybatis${param}与#{param}有什么区别
回首一辈子
04-16 2161
${param}表达式主要用户获取配置文件数据,DAO接口的参数信息,当 $ 出现在映射文件的 SQl 语句时创建的不是预编译的 SQL ,而是字符串的拼接有可能会导致 SQL 注入的问题,所以一般使用 $ 接收 DAO 参数时,这些参数一般是字段名,表名等.例如 order by {column} #{param} 表达式主要是用户获取 DAO 的参数数据,在映射文件的SQL 语句出现...
Mybatis参数(Parameters)传递
路在何方
06-06 5648
1.单个普通类型(基本类型、包装类型、String)的参数 封装规则:Mybatis不会做特殊的处理 取值 #{随便写,建议与实际的参数名保持一致} 例如: 操作:public Employee getEmployeeById(Integer id ); 取值:#{id} <!-- 关于select 的查询语句 resulType:查询结果对应的类型 id 当前sql语句的唯一标识 #{id}...
MyBatis-@param注解详解
热门推荐
xuonline4196的博客
03-03 2万+
@param参数注解 一、@Param注解单一属性 dao层示例 Public User selectUser(@param(“userName”) String name,@param(“userpassword”) String password); xml映射对应示例 &amp;amp;amp;amp;amp;amp;amp;lt;select id=&amp;amp;amp;amp;amp;amp;quot; selectUser&amp;amp;amp;amp;amp;a
解决Vue Router4params 传参失效和报错问题
LP'S Blog
02-27 4864
在使用vue-router4params 进行路由组件之间传参,跳转页面接收不了并出现如下错误如下是我的代码传输页面接收页面。
Java ${param.xxx}
chxuy的博客
01-07 242
** JAVA ${param.xxx} ** ${param.xxx}获取url的参数 EL表达式${param.xxx}:从url获取参数。 例如:跳转网址:127.0.0.1/test/test.jsp?test1=1&test2=2 ${param.test1}获取test1的值,为1; ${param.test2}获取test2的值,为2; ...
MyBatis04】MyBatis获取参数值的两种方式、@Param源码分析
yu_fu_a_bu的博客
04-07 1081
文章目录1 MyBatis获取参数值的两种方式2 MyBatis获取参数值的五种情况情况1: 单个字面量类型的参数(方法有一个参数)情况2:多个字面量类型的参数情况3:map集合类型的参数情况4:实体类类型的参数情况5: 使用@Param标识参数3 @Param源码分析后续更新 1 MyBatis获取参数值的两种方式 MyBatis获取参数值的两种方式:${}和#{} ${}的本质就是字符串拼接 #{}的本质就是占位符赋值 ${}使用字符串拼接的方式拼接sql,若为字符串类型或日期类型的字段进行赋值时,需
mybatis#和$的区别
05-31
MyBatis,#和$都是用来表示SQL语句的参数占位符,它们的主要区别在于参数的处理方式。 1. #表示的是预编译的SQL语句的占位符,预编译可以防止SQL注入攻击,提高了SQL语句的安全性。同时,#会将参数值以字符...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值