mybatis中#{}和${}的区别

最新推荐文章于 2024-04-25 15:41:10 发布
最新推荐文章于 2024-04-25 15:41:10 发布
阅读量695 收藏
点赞数
分类专栏: 杂乱无章 文章标签: mybatis sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a219219219219/article/details/107504922
版权

前言

#{}和${}都是mybatis动态SQL的一部分,其实mybatis的动态SQL还包括大家耳熟能详的<if>

<where>标签,以及用于批量提交的<foreach>标签等等。

总而言之:

(1)#{}在很大程度上能够防止sql注入。

(2)${}无法防止sql注入。

(3)${}一般用于传入数据库对象,例如传入表名,即table。

(4)一般能用#{}的就别用${}

 

分析

mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。

比如,如果 name 为derder,则下面两种方式没区别:

select * from user where name = #{name};

select * from user where name = ${name};

其解析之后的结果均为
select * from user where name = 'derder';

 

但是 #{} 和 ${} 在预编译中的处理是不一样的。#{} 在预处理时,会把参数部分用一个占位符 ? 代替,

变成如下的 sql 语句:

select * from user where name = ?;

注:

?是一个占位符,在JDBC中的用法如下:

String sql = "SELECT userid,name FROM tuser WHERE userid=? AND password=?" ;

pstmt = conn.prepareStatement(sql) ;

pstmt.setString(1,userid) ; // 这里设置了第一个?的值

pstmt.setString(2,password) ; // 这里设置了第二个?的值 等你“setString”完所有的?后,你的sql就构造好了。

 

而 ${} 则只是简单的字符串替换,在动态解析阶段,该 sql 语句会被解析成

select * from user where name = 'derder';

以上,#{} 的参数替换是发生在 DBMS 中,而 ${} 则发生在动态解析过程中。

优先使用 #{}。因为 ${} 会导致 sql 注入的问题。

 

SQL注入的例子:

select * from ${tableName} where name = #{name}

在这个例子中,如果表名为

   user; delete user; --

  则动态解析之后 sql 如下:

select * from user; delete user; -- where name = ?;

--之后的语句被注释掉,而原本查询用户的语句变成了查询所有用户信息+删除用户表的语句。

但是表名用参数传递进来的时候,只能使用 ${} 。这也提醒我们在这种用法中要小心sql注入的问题。

 

另外:

Spring中XML文件通过${}引入property文件中的值构建DataSource,这里的${}不是XML固有的,而是利用自带的java jar 包对${}中的东西进行解析。

 

(部分内容是我当初从CSDN上摘录的笔记,一年过去了,忘记了出处)

 

 

垃圾继承拖拉机
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql ${param}与#{param}使用区别
09-08
主要介绍了mysql ${param}与#{param}使用区别,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
mybatis#和$的区别
灰太狼
03-22 2万+
mybatis接口mapper文件引用传入的参数是通过#{param}或者${param}来使用的。1.数据类型匹配#:会进行预编译,而且进行类型匹配$:不进行数据类型匹配2.实现方式 #:用于变量替换$:实质上是字符串拼接3.#和$的使用场景(1)变量的传递,必须使用#,使用#{}就等于使用了PrepareStatement这种占位符的形式,提高效率。可以防止sql注入等等问题。#方式一般用...
mybatis - 取值符号:# 和 $的区别
最新发布
pig_ning的博客
04-25 582
mybatis - 取值符号:# 和 $的区别
MyBatis#和$的符号区别
严文文 Chris
09-02 699
mybatis使用Mapper.xml里面的配置进行sql查询,经常需要动态传递参数,例如,我们根据用户的姓名来删选用户是,sql如下: Select * from user where name=“Jack”; 上述sql,我们希望name的参数jack是动态可变的,既不同的时刻根据不同的姓名来查询用户,在Mapper.xml文件使用如下的生气了可以实现动态传递参数 name: Se...
MyBatis的#和$区别
wdhouyigege的博客
07-13 269
1.#会将传入的数据解析成一个字符串,自动添加上双引号,$会将传入的数据直接显示在Sql语句如:select name,age from t_user where id = #{userId},传入参数111,则将sql解析为select name,age from t_user where id = “111”select name,age from t_user where id = ${u...
mybatis#和$的区别
雅客
05-22 698
1.#{}用来传入参数①sql在动态解析的时候会加上" ",当成字符串来解析成为一个占位符‘?’;②可以很大程度上防止SQL注入。2.${}用来传入参数①在动态解析的时候会用转换成字符串,拼接到SQL显示;②一般用于传入数据库对象,比如表名、列名;③不能防止SQL注入;注意:1、myBatis排序时使用order by,group by 动态参数时,需使用${}。          2、当用${...
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
myBatis的#和$的区别
耀的专栏
03-05 1014
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库的记录。 动态sqlmybatis 的主要特性之一,在mybatis我们可以把参数传到xml文件,由mybatissql及其语法进行解析,m...
Mybatis#{}和${}的区别
个人博客
09-07 1019
一、结论   #{}:占位符号,好处是防止sql注入。   ${}:sql拼接符号。 二、具体分析   动态 SQLmybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } ...
mybatis#{}与${}的区别
javaee9527的博客
12-10 2187
#{} : 可以防止sql注入, sql语句在编译的过程,会把值转换成?占位符, 在最终编译的时候,会对值进行转义,添加””, 当传入的值为简单数据类型的时候, 括号内部可以随便写 #{}   ${} : 不能防止sql注入, 不会对传入的值进行转义的操作, 直接完成sql语句的拼接, 当传入的值为简单数据类型的时候, 括号内部必须写value ${value} Ps: 当执行排序的
MyBatis#{ }和${ }的区别
柴狗狗的小号的博客
07-07 7921
MyBatis#{ }和${ }都可以用来动态传递参数,补全SQL语句,但它们区别也很明显。 (1)#{"参数名"}在SQL相当于一个参数占位符“?”,用来补全预编译语句。它补全预编译语句时,可以理解为在此参数值两端加了单引号。举例如下,当需要动态的按id查询用户信息时。 select * from my_user where id = #{id}; 如果我们为id赋值为...
Mybatis的${}和#{}区别
热门推荐
心若向阳 无谓悲伤
12-16 2万+
Mybatis的${}和#{}区别,以及运用场景
mybatis #与$的区别
木头若愚
04-22 1024
MyBatis/Ibatis#和$的区别 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".   2. $将传入的数据直接显示生成在sql。如:order by $us
badSQL,myBatis#$区别
揣金磊 的博客
12-18 275
badSQL,myBatis#$区别 在这里插入代码片#{}是预编译处理, $ {}是字符串替换。mybatis在处理#{}时,会将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值;mybatis在处理 $ {}时,就是把 $ {}替换成变量的值。使用#{}可以有效的防止SQL注入,提高系统安全性。 对于这个题目我感觉要抓住两点: (1)$ 符号一般用来当作占...
mysql#和$得区别
Sunjin_shuai的博客
03-06 1142
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为or...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值