【MyBatis】关于 MyBatis 的占位符 # 和 $ 说明

最新推荐文章于 2023-11-21 13:41:13 发布
最新推荐文章于 2023-11-21 13:41:13 发布
阅读量3.3k 收藏 2
点赞数
分类专栏: MyBatis Java 文章标签: sql 数据库 java mybatis 软件框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aaa_hao/article/details/119968064
版权

#占位符,告诉 mybatis 使用实际的参数值代替。并使用 PrepareStatement 对象执行 sql 语句, #{…}代替

sql 语句的 “?”。这样做更安全,更迅速,通常也是首选做法

mapper 文件 :

<select id="selectById" resultType="com.kaho.domain.Student"> 
 	select id,name,email,age from student where id=#{studentId} 
</select>

内部机制:

使用#{}之后,mybatis执行sql语句是使用的jdbc中的PrepareStatement对象
        由mybatis执行下面的代码:
            1.mybatis创建Connection、PrepareStatement对象
              String sql = "select  id,name,email,age from student where id=?";
              PrepareStatement pst = conn.prepareStatement(sql);
              pst(1,1001); //填充占位符
              
        解释:where id=? 就是 where id=#{studentId} ps.setInt(1,1001) , 
        		1001 会替换掉 #{studentId}

            2.执行sql封装为resultType="com.kaho.domain.Student"这个类型的对象
              ResultSet rs = ps.executeQuery();
              Student student = new Student();
              while(rs.next()){
                  //从数据库取表的一行数据,存到一个java对象属性中
                  Student.setId(rs.getInt("id"));
                  Student.setName(rs.getString("name"));
                  Student.setEmail(rs.getString("email"));
                  Student.setAge(rs.getInt("age"));
              }
              return student;  //赋给了dao方法调用的返回值

$字符串替换,告诉 mybatis 使用 $ 包含的“字符串”替换所在位置。使用 Statement 把 sql 语句和${}的

内容连接起来。主要用在替换表名,列名,不同列**排序(order by ${…})**等操作。

mapper文件:

select id,name, email,age from student where id=${studentId}

MyBatis解析 $ 的结果:select id,name, email,age from student where id=1001

String sql=“select id,name, email,age from student where id=” + “1001”;
使用的Statement对象执行sql, 效率比PreparedStatement低。

: 可 以 替 换 表 名 或 者 列 名 , 需 要 能 确 定 数 据 是 安 全 的 , 才 可 以 使 用 :可以替换表名或者列名, 需要能确定数据是安全的,才可以使用 :使

  # 和 $ 区别
  1. # 使用 ?在sql语句中做占位的,使用PreparedStatement执行sql,有预编译处理,效率高
  2. # 能够避免sql注入,更安全。
  3. $ 不使用占位符,是字符串连接方式,使用Statement对象执行sql,效率低
  4. $ 有sql注入的风险,缺乏安全性。
  5. $ 可以替换表名或者列名
  6. $所表示的内容是原样替换的
Kaho Wang
关注
专栏目录
【D3S】数据权限 - 基于Mybatis的数据权限拦截器实现
罗小爬的技术宝书
07-02 1605
目录一、背景二、动机三、实现思路3.1 权限类型、操作类型3.2 统一用户及数据权限集合模型3.3 定义数据权限拦截注解3.4 提取配置属性3.5 数据权限拦截器实现四、集成方式五、关于D3S 一、背景 最近一直在做RBAC相关的架构设计与实现,传统的RBAC的权限控制只是控制到REST接口(url)、具体方法(权限码)等,而通常实际业务场景还需要对数据权限进行控制,例如: 用户仅允许查询自己的用户信息,不允许查询其他人的用户信息 用户仅被允许查询 同部门 或 同部门及子部门 的用户信息 用户仅允许查询指
【狂神说笔记—— Java基础19-MyBatis
weixin_46055348的博客
07-28 681
【狂神说笔记—— Java基础19-MyBatis
MyBatis怎么使用动态表名(#和$的区别)
wobuxiangxin1314的博客
11-06 1291
MyBatis怎么使用动态表名(#和$的区别)
关于Mybatis的$和#,你真的知道他们的细节吗?
chutan5573的博客
07-09 450
前言 在JDBC中,主要使用的是两种语句,一种是支持参数化和预编译的PrepareStatement,能够支持原生的Sql,也支持设置占位符的方式,参数化输入的参数,防止Sql注入,一种是支持原生Sql的Statement,有Sql注入的风险。 在使用Mybatis进行开发过程中,隐藏了底层具...
mybatis使用#{}和${}的区别和原理
felix
09-09 455
#{}号的含义 默认情况下,使用 #{} 参数语法时,MyBatis 会创建 PreparedStatement 参数占位符sql预编译,并通过占位符安全地设置参数(就像使用 ? 一样)。 ${}号含义 ${ } 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换 ${ } 的变量的替换阶段是在动态 SQL 解析阶段。 两者对比 (1) #{} 为参数占位符 ?,即sql 预编译 ${} 为字符串替换,即 sql 拼接 (2) #{}:动态解析 -> 预编
Mybatis #和$区别以及原理
热门推荐
张井天的博客
06-04 4万+
总结: #可以防止Sql 注入,它会将所有传入的参数作为一个字符串来处理。 $ 则将传入的参数拼接到Sql上去执行,一般用于表名和字段名参数,$ 所对应的参数应该由服务器端提供,前端可以用参数进行选择,避免 Sql 注入的风险 为什么? 为什么 # 和 $ 的作用不同,Mybatis 对他们做了哪些惨无人道的处理,我们看一下下面的例子,并追踪一下源码总结。 示例代码: 创建一个 tb...
mybatis 面试题
一个程序员的成长之路。。。
04-20 3084
1、Mybatis比IBatis比较大的几个改进是什么 答: 有接口绑定,包括注解绑定sql和xml绑定Sql , 动态sql由原来的节点配置变成OGNL表达式, 在一对一,一对多的时候引进了association,在一对多的时候引入了collection节点,不过都是在resultMap里面配置 2、什么是MyBatis的接口绑定,有什么好处 答:接口映射就是在IBatis中任意定义...
框架mybatis属性配置说明
weixin_44464721的博客
06-27 225
mybatis入门实例中,有关于mybatis的设置,这里做一下具体的说明记录。 mybatis-config.xml 在下载mybatis包时,压缩包里也会有相应的说明文档。文档里有给属性xml文件的一个简单例子: 这个例子里给出了配置的最主要部分。注意 XML 文档所需的 XML 标头。 environment 元素的主体包含事务管理和连接池的环境配置。 mappers 元素包含一个映射器列表——包含 SQL 代码和映射定义的 XML 文件和/或带注释的 Java 接口类。 另外,官网文档中也给出了
JAVA高级学习】Mybatis【1】
weixin_39009248的博客
04-12 661
命名规范 项目名:没有要求 包名:域名倒写,com.domain.*** 数据库访问层:dao,persist,mapper 实体:entity,model,bean,javabean,pojo 业务逻辑:service,biz 控制器:controller,servlet,action,web 过滤器:filter 异常:exception 监听器:listener 注释: 10.1 类上和方法上使用文档注释 /** / 10.2 在方法里面使用/ */ 或 // 类:大驼峰 方法、属性:小驼峰 M
【狂神说】mybatis02
qq_45240472的博客
01-16 285
5、解决属性名和字段名不一致的问题 5.1、查询为null的问题 要解决的问题:属性名和字段名不一致 环境:新建一个项目,将之前的项目拷贝过来 1、查看之前的数据库的字段名 2、Java中的实体类设计 public class User { private int id; //id private String name; //姓名 private String password; //密码和数据库不一样! //构造 //set/get
Mybatis日志参数快速替换占位符工具的详细步骤
08-18
主要介绍了Mybatis日志参数快速替换占位符工具的详细步骤,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
JS替换SQL占位符替换工具 Fix placeholder
04-06
NULL 博文链接:https://yhef.iteye.com/blog/1556028
mybatis替换问号完整Sql插件
11-22
<plugin interceptor="com.zheling.interceptor.FullSQLInterceptor"/>
mybatis中参数占位符
最新发布
武帝为此的博客
11-21 358
{}占位符允许直接替换属性值或表达式的结果,但小心潜在的SQL注入风险。通常情况下推荐使用#{}参数占位符,它提供更好的安全性和预编译功能。只有在需要执行SQL函数或进行字符串拼接等情况下,才使用${}占位符
(九)Mybatis的#{}占位符和${}拼接符的区别
秦怀杂货店
06-26 5264
注:代码已托管在GitHub上,地址是:https://github.com/Damaer/Mybatis-Learning,项目是mybatis-05-CURD,需要自取,需要配置maven环境以及mysql环境,觉得有用可以点个小星星,小菜鸟在此Thanks~ 1.#{}占位符 1.#{}占位符可以用来设置参数,如果传进来的是基本类型,也就是(string,long,double,in...
使用GenericTokenParser模仿mybatis进行sql占位符的替换
aaaaa2428572的博客
02-17 638
public static class SqlTokenParser { static SimpleDateFormat simpleDateFormat = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss"); public static String handleSql(String sql, Map<String,Object> tableKeys, Map<String,Object> paramKey.
【深入理解MyBatis】- 04Mybatis 从0开始实现Mybatis 占位符替换${}功能
dengjili的专栏
07-12 1575
Mybatis 占位符替换${}简介 在Mybatis的配置文件中,可以使用类型${username}这种占位符配置,将具体配置的属性单独统一的配置文件中,使用如下 mybatis-config.xml <dataSource type="POOLED"> <property name="driver" value="${driver}"/> <property name="url" value="${url}"/> <prope
Java笔记--Mybatis中的#和$--2021-05-13
A2113438464的博客
05-24 362
Mybatis中的#和$#:占位符$: 字符串替换例子例1:分别使用id,email列查询Student例2:通用方法,使用不同列作为查询条件 在mapper文件中,我们传参时可以看到一直在使用 #{ } ,它是什么?跟 ${ } 有什么区别?现在讲解记录。 #:占位符 告诉 mybatis 使用实际的参数值代替。并使用 PrepareStatement 对象执行 sql 语句, #{…}代替sql 语句的“?”。这样做更安全,更迅速,通常也是首选做法, 转为 MyBatis 的执行是: String s
09-MyBatis 占位符#和$
鸣鼓ming的博客
01-14 1273
1.#占位符 #占位符告诉 mybatis 使用实际的参数值代替。并使用 PrepareStatement 对象执行 sql 语句, #{…}代替 sql 语句的“?”。这样做更安全,更迅速,通常也是首选做法. xml <select id="getUserById" resultType="com.limi.entity.User"> <!--要执行的 sql 语句--> select * from t_user where id = #{
mybatis中使用#和$书写占位符有什么区别?
06-06
MyBatis中使用#和$书写占位符有什么区别? 在MyBatis中,使用#和$书写占位符都是用来替换SQL语句中的参数,但是它们的功能和作用是不同的。#代表参数预处理,它会将传入的值自动封装成对应的Java类型,可以防止SQL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Kaho Wang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值