MyBatis查询语句中#{}和${}区别?

最新推荐文章于 2022-05-30 14:45:50 发布
最新推荐文章于 2022-05-30 14:45:50 发布
阅读量149 收藏
点赞数 2
分类专栏: mybatis 文章标签: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZhaZha__Hui/article/details/108954903
版权

#{} :
是预编译处理,像传进来的数据会加个" "(#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号)

${} :
就是字符串替换。直接替换掉占位符。
$方式一般用于传入数据库对象,例如传入表名.

使用 ${} 的话会导致 sql 注入。什么是 SQL 注入呢?比如 select * from user where id = ${value}

value 应该是一个数值吧。然后如果对方传过来的是 001 and name = tom。这样不就相当于多加了一个条件嘛?把SQL语句直接写进来了。如果是攻击性的语句呢?001;drop table user,直接把表给删了,所以为了防止 SQL 注入,能用 #{} 的不要去用 ${}

如果非要用 ${} 的话,那要注意防止 SQL 注入问题,可以手动判定传入的变量,进行过滤,一般 SQL 注入会输入很长的一条 SQL 语句

嘉轩哥
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MyBatis的模糊查询语句
08-31
主要介绍了MyBatis的模糊查询语句的相关资料,需要的朋友可以参考下
Mybatis查询语句结果集的总结大全
08-27
主要给大家总结介绍了关于Mybatis查询语句结果集的相关资料,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
mybatis$查询和#查询的区别
二祥的工作历程
07-30 374
#:参数的位置都是用?来替换,参数都是预编译后设置进去的,安全,防止sql注入。 $: 不是参数预编译,而是直接sql拼接。 那么$就没有使用场景了吗? 如果我们要动态的从一个表明里获取数据。 #{tableName},报错! 得要用${tableName} ...
查询语句
weixin_30776273的博客
11-07 83
排序查询 order by desc --排序查询 --排序查询使用order by进行查询,执行是先查询(数据)后排序 --默认的排序使用升序排序,也可以使用asc进行显示声明;也可以使用desc进行降序排序 select * from libprivilege order by pid desc; --在排序查询时,如果有多个排序列可以使用逗号进行分...
sql-查询语句
从零瞎学日记
09-08 142
1、更新数据 2、where 3、group by 4、order by 5、limit offset 6、join on 7、 联合查询 union union all 子查询 in =>< exists any、some、all 正则匹配 regexp ^$.[][^]| ...
MyBatis的#
程序员的博客
12-12 2964
MyBatis的# 1. #是预编译的方式,$是直接拼接; #不需要关注数据类型,mybatis实现自动数据类型转换;$不做数据类型转换,需要自行判断数据类型; #可以防止sql注入;$不能防止sql注入; 如果只有一个参数,默认情况下, #{}可以写任意的名字;${}只能用value来接收。 2. 有时候新增一条数据,知道新增成功即可,但是有时候,需要这条新增数据的主键,以便逻辑使用,再将其查询出来明显不符合要求,效率也变低了。 这时候,通过一些设置,mybatis可以将insert的
mybatisLIKE模糊查询的几种写法以及注意点
热门推荐
NasubiZW
08-20 39万+
mybatis对于使用like来进行模糊查询的几种方式: (1)使用${...} 注意:由于$是参数直接注入的,导致这种写法,大括号里面不能注明jdbcType,不然会报错 org.mybatis.spring.MyBatisSystemException: nested exception is org.apache.ibatis.reflection.ReflectionExc...
MyBatis#号与美元符号的区别
08-31
#{变量名}可以进行预编译、类型匹配等操作,#{变量名}会转化为jdbc的类型。很多朋友不清楚在mybatis#号与美元符号的不同,接下来通过本文给大家介绍两者的区别,感兴趣的朋友参考下吧
mybatis查询语句揭秘之参数解析
08-26
主要给大家介绍了关于mybatis查询语句之参数解析的相关资料,文通过示例代码介绍的非常详细,对大家学习或者使用mybatis具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Mybatis模糊查询和动态sql语句的用法
08-26
今天小编就为大家分享一篇关于Mybatis模糊查询和动态sql语句的用法,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
MyBatis#{}和${}的作用与区别
陈三千的博客
03-07 6237
mybatis#和$的主要区别是:#传入的参数在SQL显示为字符串,#方式能够很大程度防止sql注入;$传入的参数在SqL直接显示为传入的值,$方式无法防止Sql注入。 1、传入的参数在SQL显示不同 #{} 将传入的参数(数据)都当成是一个字符串,在SQL显示为字符串,会对自动传入的数据加一个双引号。 「对自动传入的数据加一个双引号」 例:使用以下SQL语句 select id,name from student where id =#{id}; //当我们传递的参数id为 "1" 时,上
MyBatis根据用户名实现模糊查询(${}和#{}的区别)
qq_42780864的博客
08-03 2418
备注:其他大部分代码参照”Mybatis介绍及入门程序” 方法一 通过使用 #{},类似于PrepareStatement的占位符,传递的参数值是字符串,字符串是 %xxx% 编写User.xml文件 &lt;?xml version="1.0" encoding="UTF-8" ?&gt; &lt;!DOCTYPE mapper PUBLIC "-//mybatis.org//DT...
MyBatis #{} 与 ${} 的区别
hengliang_的博客
05-30 2416
Mybatis的#{}用于传递查询的参数,用于从dao层传递一个string参数过来(也可以是其他参数),select * from 表名 order by age=#{age} Mybatis会把这个参数转换成一个字符串。select * from 表名 order by age=“age” 相当于jdbc的预编译,安全 而${}一般用于order by的后面,Mybatis不会对这个参数进行任何的处理,直接生成了sql语句。例:传入一个年龄age的参数,select * from 表名 orde
mybatis#{}与${}的区别以及模糊查询
是小D吖!的博客
08-03 802
动态 sql 是 MyBatis 的主要特性之一,在 mapper 定义的参数传到 xml 之后,在查询之前 MyBatis 会对其进行动态解析。MyBatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 #{}和${}的区别 (1) #{}是预编译处理动态解析之后会将传入的变量加上双引号,$ {}是字符串替换不会加双引号。 (2) MyBatis在处理#{}时,会将SQL的#{}替换为?号,使用PreparedStatement的set方法来赋值;MyBatis在处理 $ {
Mybatis的#{} 和 ${}区别、联系及用法
CJW的博客
04-13 1522
Mybatis的 #{} 和 ${}区别于联系 一般业务开发或学习时,最需要注意的是:当我们的数据库表名作为参数或者利用order by进行查询结果排序时需要使用${},其他情况尽量使用#{},能够防止SQL注入,反正就是一句话,除了特殊情况,能用#{}尽量用#{}。 1. 联系 #{} 和 ${}都能够使Mybatis实现动态传递参数; 2. 区别 作用:#{}直接给数据加增加一对儿引号,${}则是直接显示数据,数据本身是啥就是啥。 在动态获取id时,#{}的位置 id = ? ,是一个占位符.
mybatis查询语句(超详细步骤)
qq_39899164的博客
09-11 4600
一、 集成mybatis 在pom.xml导入jar文件 (此处导入运行样例所用的所有的包) <!-- mybatis框架包 --> <dependency> <groupId>org.mybatis</groupId> <artifactId>mybatis</artifactId> <version>3.2.8</version> </depe
MyBatis#{}和${}的区别详解 区别
wwwwww33的博客
07-01 4万+
区别 1.#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id". 2.将传入的数据直接显示生成在sql。如:orderby将传入的数据直接显示生成在sql。如:orderbyuser_id$,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sq
mysql$和_在数据库,$和#代表什么意思?
weixin_39612332的博客
01-20 5910
#{}与${}1.#{}实现向prepareStatement的预处理语句设置参数值,sql语句#{}表示一个占位符。SELECT*FROMUSERWHEREid=#{value}使用占位符可以防止sql的注入,在使用时不需要关心参数的类型,mybatis会自动的进行Java与jdbc的转换。#{}可以接受简单类型和pojo的属性值。如果parameterType...
#{}与${}的区别,以及模糊查询时该如何使用(超详细)
lifan_zuishuai的博客
02-11 2430
最近发现对${}与#{}的区别有些模糊,所以重新复习一遍并记下笔记 mybatis#{}与${}的区别 #{}是使用预编译(底层使用preparedStatement调用set方法来赋值),会在参数前后加单引号' 而${}是使用拼接的方式将${}替换为变量 所以mybatis在进行like查询时 "%%"只能使用"%${}%",最后会拼接成"%变量%" 如:select * from t_tra...
Mybatis模糊查询用#和$什么区别
最新发布
03-28
在SQL语句使用LIKE关键字可以做到模糊匹配,比如在查询名字包含“张”的用户时,可以使用如下语句: SELECT * FROM users WHERE name LIKE '%张%' 其%表示通配符,表示匹配任意字符,所以'%张%'可以匹配任意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值