Mybatis获取参数值得两种方式:${}和#{},${}和#{}区别是什么?

最新推荐文章于 2024-08-21 23:39:15 发布
最新推荐文章于 2024-08-21 23:39:15 发布
阅读量5.2k 收藏 27
点赞数 23
分类专栏: Java mybatis 文章标签: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yangyeon_/article/details/135356479
版权

${}的本质是字符串拼接,#{}的本质是占位符赋值

${} 使用字符串拼接的方式拼接sql,若为字符串类型或日期类型的字段进行赋值时,需要手动加单引号;

#{} 使用占位符赋值的方式拼接sql,此时为字符串类型或日期类型的字段赋值时,可以自动添加单引号;

实际使用${}和#{}进行输出观察

需要配置sql的输出日志方便观察输出结果

<!-- settings:控制mybatis的全局行为-->
<settings>
    <!--设置mybatis输出日志-->
    <!--logImpl:表示对日志的控制-->
    <!--STDOUT_LOGGING:将日志输出到控制台上-->
    <setting name="logImpl" value="STDOUT_LOGGING" />
</settings>

注意:要在配置文件的第一行进行配置 

观察 ${}

<!--通过$进行查询-->
<select id="selectBy$" parameterType="java.lang.String" resultType="com.qcby.entity.User">
    select * from user where username = ${value}
</select>

 结果如下图:

可以发现输出的sql 直接在上边拼接好了我们要查询的值,但出现了错误。

将这条sql语句放入到mysql当中去执行,发现错误原因是sql语句在值上没有带单引号。

 所以我们需要重新编辑sql,加上单引号,这样才是正确的sql语句。

观察 #{}

<!--通过#进行查询-->
<select id="select"  parameterType="java.lang.String" resultType="com.qcby.entity.User">
    select * from user where username = #{username}
</select>

结果输出如下: 

可以看到当前执行的sql语句的日志执行结果最后的条件值是用 ?代替

总结:$使用的是字符串连接的方式,#使用的是占位符的方式 

${}和#{}区别是什么? 

#{}的预编译

#{} 是占位符:动态解析 -> 预编译 -> 执行

${} 是拼接符:动态解析 -> 编译 -> 执行

预编译可以类比java类的编译,java类被编译成class文件,载入虚拟机,载入虚拟机的字节码文件可以先被编译成机器码,那么在执行某行代码的时候就可以直接执行编译后的机器码,而不用从字节码开始编译再执行,那么执行效率就高了。

sql的预编译也是一样的道理,在执行前就编译好,等执行时直接取编译结果去执行,省去编译时间。sql预编译后会在参数位置用占位符表示。

预编译:

数据库驱动在发送sql和参数到DBMS之前,先对sql语句进行编译处理,之后DBMS则可以直接对sql进行处理,不需要再次编译,提高了性能。

这一点mybatis 默认情况下,将对所有的 sql 进行预编译处理。

  • 预编译可以将多个操作步骤合并成一个步骤,一般而言,越复杂的sql,编译程度也会复杂,难度大,耗时,费性能,而预编译可以合并这些操作,预编译之后DBMS可以省去编译直接运行sql。
  • 预编译语句可以重复利用。把一个 sql 预编译后产生的 PreparedStatement 对象缓存下来,下次对于同一个sql,可以直接使用这个缓存的 PreparedState 对象。

sql注入攻击问题

使用${}做字符串拼接的方式不安全,可能存在sql注入问题。

SQL语句的流程

本地拼接SQL语句 ——> 发送SQL语句到数据库 ——> 数据库编译SQL语句 ——> 执行

本地拼接SQL语句存在SQL注入安全隐患

select * from user where username = ${value};

比如我们要做上面这个查询,数据库中只有张三可以安全登录,但是如果传参是: '张三' or username = '李四',那么就变成了张三和李四都可以登录。

这种通过传参就能改变SQL语句原本规则的操作就是SQL注入,这个在实际生产中当然是危险的,攻击者可以把SQL命令插入到Web表单的输入域或页面请求的查询字符串中,欺骗服务器执行恶意的SQL命令。

为什么#{}可以预防sql注入

这个时候就可以聊聊为什么#{}之所以能够预防sql注入了。

mybatis的#{}之所以能够预防sql注入是因为底层使用了PrepardStatment类的setString()方法来设置参数, 此方法会获取参数传递过来的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等), 则会在上边加一个‘/’代表转义此符号,让其变成一个普通的字符串,不参与SQL语句的生成,达到预防sql注入的效果

如何选择使用 #{} 和 ${}

1. 能用 #{} 的地方就用 #{},尽量少用 ${}

2. 表名作参数,或者order by 排序时用 ${}

3. 传参时参数使用@Param("")注解,@Param注解的作用是给参数命名,参数命名后就能根据名字得到参数值(相当于又加了一层密), 正确的将参数传入sql语句中(一般通过#{}的方式,${}会有sql注入的问题)

yYahoo~
关注
专栏目录
myBatis——注解,#{}与${},resultMap的使用
luerdao_的博客
12-07 668
注解开发 注解开发不需要使用mapper.xml文件进行映射 直接绑定类 <mappers> <mapper class="com.luerdao.dao.UserMapper"></mapper> </mappers> @Select("select * from user") List<User> getAllUser(); @Select("select * from user where id =#{id}") User sele
mybatisforeach的用法及#{}和${}的区别
kbh528202的博客
07-03 5037
foreach用法 &amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;SQL语法使用IN关键字,例如id in (1,2,3).可以使用${id}方式取值,但这种写法不能给你防止SQL注入,想避免SQL注入就需要用#{}的方式,这就要配合使用foreach标签来满足需求。 &amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;foreach包含以下属性: - collec
mybatis获取参数两种方式:${}和#{}
m0_72167535的博客
03-19 1055
{}:相当于jdbc的preparedstatement,SQL注入只能对编译过程起作用,所以这样的方式就很好地避免了SQL注入的问题。预编译机制只能处理查询参数。这种预编译方式不仅能提高安全性,而且在多次执行同一个SQL,能够提高效率。原因是SQL已编译好,再次执行无需再编译。当N次执行同一条sql语句,节约了(N-1)次的编译间,从而能够提高效率。${}:涉及到动态表名和列名,只能使用“${xxx}”这样的参数格式。需要使用${} 直接进行拼接。因为#{}传过来的参数带单引号',
一次说清Mybatis的#{}和${}的区别
WgRui的博客
07-29 9237
老生常谈了
MyBatis -- 参数占位符 #{} 和 ${}
yyhgo_的博客
01-17 1051
MyBatis -- 参数占位符 #{} 和 ${}
mybatis传递参数加上单引号
lixilai_rjkf的博客
11-26 3446
1) 使用#{参数}传入加上单引号,sql语句解析是加上"", 比如 select * from table where name = #{name} ,传入的name为小李,那么最后打印出来的就是 select * from table where name = ‘小李’,就是当成字符串来解析,这样相比于$的好处是比较明显对的吧,#{}传参能防止sql注入,如果你传入的参数为 单引号',那么如果使用${},这种方式 那么是报错的, 2)${} 另外一种场景是,如果你要做动态的排序,比如..
(易懂)Mybatis${}和#{}的区别和使用注意
hefangxuxing的博客
04-27 4195
一、区别 1. ${}使用字符串拼接的方式拼接sql,如果数据是字符串类型或日期,我们需要手动加引号 #{}自动加上引号 2. #{}安全${}不安全 容易造成sql注入 sql注入就是改变sql的语法规则,进行sql命令攻击 3. #{}是经过预编译的,是安全的,而${}是未经过预编译的,仅仅是取变量的值,是非安全的 4. sql和java一样 ...
MyBatis基础入门4:#{}和${}传参的使用区别
weixin_43183850的博客
05-02 3154
mybatis传参的两种方式:#{}和${}
MyBatis获取参数值的两种方式
weixin_52994410的博客
04-19 2819
目录 Mybatis获取参数值得两种方式:${}和#{} 1.配置sql输出日志 2.看#{}和${}的输出现象 3.#{}:预编译 4.sql注入 5.什么候使用${} 6.如何选择使用 #{} 和 ${} Mybatis获取参数值得两种方式:${}和#{} ${}的本质是字符串拼接,#{}的本质是占位符赋值 ${}使用字符串拼接的方式拼接sql,若为字符串类型或日期类型的字段进行赋值,需要手动加单引号; #{}使用占位符赋值的方式拼接sql,此为字符串类型或日期类型.
MyBatis传入多个参数的问题
07-06
另一种常见的多参数传递方式是使用`Map`对象来封装多个参数。这种方式更加灵活,可以方便地传递不同类型的数据。例如,通过`HashMap`来查询`XXXBean`对象列表: ```java public List<XXXBean> getXXXBeanList...
MyBatis 与 SpringBoot 整合:注解和xml两种使用方式介绍
solocoder的博客
12-13 7209
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库的记录。 无论是使用注解还是 xml 映射文件配置...
MyBatisMyBatis参数详解
且将&的博客
12-21 2303
MyBatis参数详解
SSM——4.Mybatis获取参数值的方式
m0_52096593的博客
10-13 590
Mybatis获取参数值得两种方式:${ } 和 #{ }#{}的本质是占位符赋值;${ }的本质是字符串拼接;${}使用字符串拼接的方式拼接sql,若为字符串类型或日期类型的字段进行赋值,需要手动加单引号;#{}使用占位符赋值的方式拼接sql,此为字符串类型或日期类型的字段赋值,可以自动添加单引号
MybatisPlus的LambdaQueryWrapper用法
2301_79693537的博客
08-21 5395
【代码】MybatisPlus的LambdaQueryWrapper用法。
大学生职业生涯规划书Word模板范文就业求职简历应聘工作PPT医疗康复专业
最新发布
10-12
大学生职业生涯规划书Word模板范文就业求职简历应聘工作PPT医疗康复专业
基于Java的学生信息管理系统的实现与操作
10-12
本文介绍了一个Java实现的小型系统 -- 学生信息管理系统,包括学生数据的增删查改四个主要操作的功能演示,并具体讲解了涉及三个核心类(Student.java、StudentManager.java、StudentFrame.java)的设计思想以及代码逻辑。适合Java初学者用来了解面向对象的概念应用以及Swing工具包进行GUI创建的基础方法和步骤。系统通过提供文本框用于输入学生ID和其他必要信息,并提供按钮来执行对应指令,显示栏展示查询结果显示,使操作变得更为简洁直观有效。 适用于初步掌握Java基础的开发者,特别是想要加强自己对面向对象编码思维理解和运用的同学。 使用此管理系统可以在本地电脑环境上进行学生的数据维护工作(如增删改查),提高学校教务工作者处理信息的效率。 除了基本的数据录入和搜索之外,该项目也帮助理解如何设计合理的模型类并使用集合存储大量数据元素,另外还介绍了如何通过事件监听的方式绑定用户行为和应用程序之间的交互流程。
基于单片机控制的填块切割装置的设计_孟紫腾.pdf
10-12
基于单片机控制的填块切割装置的设计_孟紫腾
ImageNet-1K数据集索引和对应的英文表单
10-12
ImageNet-1K数据集索引和对应的英文表单
MyBatis框架,#{}和${}的区别是什么?
03-22
1. 什么是MyBatis框架? MyBatis是一种开源的持久化框架,它可以将SQL语句和Java对象进行映射,使得开发人员可以更加方便地进行数据库操作。 2. MyBatis框架的优点是什么? MyBatis框架具有以下优点: - 灵活性高:MyBatis框架可以根据开发人员的需求进行定制,可以自定义SQL语句、映射规则等。 - 易于学习:MyBatis框架的学习曲线相对较低,开发人员可以很快上手。 - 性能高:MyBatis框架采用了缓存机制,可以提高数据库操作的性能。 - 易于调试:MyBatis框架可以输出SQL语句,方便开发人员进行调试。 3. MyBatis框架的核心组件是什么? MyBatis框架的核心组件包括: - SqlSessionFactory:用于创建SqlSession对象的工厂。 - SqlSession:用于执行SQL语句的对象。 - Mapper:用于定义SQL语句和Java对象之间的映射关系的接口。 - Configuration:用于配置MyBatis框架的对象。 4. MyBatis框架的动态SQL是什么? 动态SQL是指根据不同的条件生成不同的SQL语句。MyBatis框架的动态SQL可以使用if、choose、when、otherwise、foreach等标签来实现。 5. MyBatis框架的一级缓存和二级缓存是什么? MyBatis框架的一级缓存是指SqlSession对象级别的缓存,它可以缓存查询结果,避免重复查询。二级缓存是指SqlSessionFactory对象级别的缓存,它可以缓存多个SqlSession对象的查询结果,提高查询性能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值