Mybatis中的#{}与${}

最新推荐文章于 2023-08-27 20:58:57 发布
最新推荐文章于 2023-08-27 20:58:57 发布
阅读量265 收藏 1
点赞数
分类专栏: MyBatis 文章标签: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xin6Yang/article/details/106063413
版权
本文介绍了Mybatis中#{}和${}的区别,包括它们在动态解析、预编译、执行阶段的不同以及如何传值。#{}作为参数占位符,能够防止SQL注入,而${}进行字符串替换,不支持预编译,存在安全隐患。在使用时,建议尽可能使用#{},并在需要时配合@Param注解明确参数名。对于数据库对象和ORDER BY语句,可以考虑使用${}。
摘要由CSDN通过智能技术生成

Mybatis中的#{}与${}

MyBatis映射配置文件中,动态传递参数两种方式:

  • #{}:占位符
  • ${}:拼接符

区别

  1. #{}为参数占位符?,即sql预编译;${}为字符串替换,即sql拼接。
  2. #{}:动态解析->预编译->执行;${}:动态解析->编译->执行。
  3. #{}的变量替换是在DBMS中;${}的变量替换是在DBMS外。
  4. 变量替换后,#{}对应的变量自动加上单引号’’;变量替换后,${}对应的变量不会加上单引号’’。
  5. #{}能防止sql注入;${}不能防止sql注入。

实例分析

假设传入参数为1,分析如下SQL

动态解析

-- #{}
select * from user where uid=#{uid}
-- ${}
select * from user where uid='${uid}'

预编译

-- #{}
select * from user where uid= ?
-- ${}
select * from user where uid= '1'

执行

-- #{}
select * from user where uid= '1'
-- ${}
select * from user where uid= '1'

传值

单值

  1. #{}

    无MyBatis默认值,可任意,且与参数名无关
    #{}单值
    #{}单值

  2. ${}

    使用MyBatis默认值value,即${value}
    单值
    单值
    使用自定义参数名,前提:在映射器接口方法的参数前加注释@Param("")
    自定义
    自定义

多值

  1. #{}

    使用MyBatis默认值arg0、arg1、arg2…或param1、param2、param3…
    多值
    多值
    使用自定义参数名,前提:在映射器接口方法的参数前加注释@Param("")
    多值
    多值

  2. ${}

    使用MyBatis默认值arg0、arg1、arg2…或param1、param2、param3…
    多值
    多值
    使用自定义参数名,前提:在映射器接口方法的参数前加注释@Param("")
    多值
    多值
    :@Param("")是@Param(value="")的简写

使用技巧与建议

  1. 不论是单个参数,还是多个参数,一律都建议使用注解@Param("")
  2. 能用#{}的地方就用#{},不用或少用${}
  3. 数据库对象(表名、字段名)做参数时,必须用${}。如:select * from ${tableName}
  4. order by时,必须用${}。如:select * from user order by ${columnName}
  5. 使用${}时,要注意何时加或不加单引号,即${}和’${}’
新一coding
关注
专栏目录
mybatis的#和$使用和区别】
学无止境
02-27 938
mybatis的#和$使用和区别】
#{}和${}的区别
m0_54861649的博客
07-27 853
2.Mybatis在处理#{}的时候会将sql的#{}替换成?{}没有这个功能,可以是sql手动拼接的,这里前后逻辑可能并不严密,但是sql入去最简单的例子就是这样。在使用mybatis的时候我们会使用到#{}和${}这两个符号来为sql语句传参数。4.#{}的变量替换是在DBMS、变量替换后,#{}对应的变量自动加上单引号。1.#{}是预编译处理,是占位符,${}是字符串替换,是拼接符。6.使用#{}可以有效的防止sql注入,提高系统的安全性。{}替换成变量的值,调用Statement来赋值。...
#{}与${}的区别
热门推荐
weixin_44863976的博客
09-08 1万+
#{}与${}的区别 区别 1. #{} 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符;而${}仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。 2. #{} 解析之后会将String类型的数据自动加上引号,其他数据类型不会;而${} 解析之后是什么就是什么,他不会当做字符串处理。 3...
mybatis #{} 以及 ${}
minzhang001的博客
10-23 1万+
动态 sql 是 mybatis 的主要特性之一,在 mapper 定义的参数传到 xml 之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 在下面的语句,如果 username 的值为 zhangsan,则两种方式无任何区别:select * from user where name = #{name
MyBatisMyBatis#{}与{}的区别
AloneYueCSDN
11-08 3064
文章目录mybatis#{}与{}的区别 mybatis#{}与{}的区别 #{} 是预编译处理,像传进来的数据会加个" "(#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号)与JDBC一样创建prearedStatement参数占位符并安全设置参数(就像使用 ? 一样),安全迅速,转义字符,不会有SQL注入问题 1.${} 就是字符串替换。直接替换掉占位符。$方式一般用于传入数据库对象或固定变量,例如传入表名,例如字段名 2.使用 ${} 的话会导致 sql 注入。什么是 SQ
浅谈Mybatis #和$区别以及原理
08-18
在PreparedStatementHandler的query方法,我们可以看到,Mybatis已经将SQL语句的占位符替换成了实际的参数。 结论 Mybatis的#和$占位符都是用于参数化SQL语句的,但是它们的作用和处理机制不同。#号可以防止...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
MyBatis#{}和${}的区别详解
09-01
MyBatis框架,`#{}`和`${}`是两种不同的占位符,它们各自有不同的用途和特性。了解它们的区别对于编写安全、高效的SQL语句至关重要。 首先,`#{}`是预编译参数的表示方式,它会被MyBatis转化为...
Mybatis #{}和${}
qq_52764609的博客
06-07 247
2. Mybatis 在处理#{}时,会将 sql 的#{}替换为?号,调用 PreparedStatement 来赋值。3. Mybatis 在处理${}时,就是把${}替换成变量的值,调用 Statement 来赋值。1.#{}是预编译处理、是占位符,${}是字符串替换、是拼接符。4.使用#{}可以有效的防止 SQL 注入,提高系统安全性。
mybatis#{}和{}理解
hzl1998812的博客
02-19 1873
在做项目,写mybatis的mapper.xml时我们会用到#{},${}。 区别: #{}叫预编译处理,mybatis在处理#{}时,会将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值;传进来的数据会加个" "(#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号),有效防止sql注入。${}就是字符串替换,字符串拼接参数。直接替换掉占位符。$方式一般用于传入数据库对象,例如传入表名. 关于sql注入: 什么是 SQL 注入呢?比如 select *
Mybatis常问:#{}与${}的区别
zjjcchina的博客
06-06 2141
查询到数据才可以是登录成功,否则表示登陆失败,但是会有这么一种情况,我们的SQL语句是由我们拼接的,如果用户故意输入可以让后台解析失败的字符串,这就是SQL注入,例如我们输入密码,输入 '''' ' or 1=1'' 这样,他会在后台进行拼接成select count(1) from table where username = 'username' and password = '' or 1=1;由结果可以看出,我们在没有密码的情况下依旧获取到了数据库的私密信息,由此可见${}存在很大的安全隐患。
Mybatis#{}与{}的区别与联系
qq_44788380的博客
08-27 608
Mybatis#{}与{}的区别与联系
mybatis#{}和{}区别
weixin_45447017的博客
08-25 7255
mybatis#{}和{}区别 #{}与JDBC一样创建prearedStatement参数占位符并安全设置参数(就像使用 ? 一样),安全迅速,转义字符 ${} 采用的是字符串拼接参数的形式,不太安全,当传入参数为字段名,表名,排序方式,固定常量则可以使用。不转义字符串,有风险,同时存在sql注入,一般设置固定变量,例如字段名, 另外提到resultMap 它则是结果映射定义,作用是将体现每行记录的映射,其type属性是接收参数的类型,在resultMap标签还有常用id标签 一般用于存储接收的
#{}和${}???区别????
weixin_41609981的博客
08-07 427
预编译处理的不一样: 将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #{user_id},如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id” ${}将传入的数据直接显示生成在sql,如order by userid,如果传入的值是1,那么解析成sql时的值为order by 1,如果传入的值是id,则解析成的sql为order by id 总结: #方式底层采用预编译方式
Mybatis{}域#{}的区别】
weixin_71307869的博客
06-20 1197
#{}是预编译处理,${}是字符串替换。 详情:(1)mybatis在处理#{}时,会将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值。(2)mybatis在处理时 , 就 是 把 {}时,就是把时,就是把{}替换成变量的值。(3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输入非法参数,也不会对SQL的结构产生影响,从而避免了潜在的安全风险。(4)预编译是提前对SQL语句进行预编译,而其后注入
#{}和${}的区别:
weixin_50977434的博客
11-10 2558
简单明了实用
Mybatis # 与$的区别
最新发布
09-23
与传统的JDBC相比,Mybatis提供了更简洁、灵活的方式来执行SQL语句并映射数据到Java对象Mybatis的核心思想是将SQL语句与Java代码进行分离,通过使用XML或注解来描述SQL语句的编写和映射规则。这样可以使得SQL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值