占位符与连接符的使用方法与区别

最新推荐文章于 2024-01-29 11:56:10 发布
最新推荐文章于 2024-01-29 11:56:10 发布
阅读量975 收藏
点赞数 1
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bbg_clown/article/details/123681282
版权

目录

一、#{} 占位符:

1.

#{}占位符可以用来设置参数,如果传进来的是基本类型,也就是(string,long,double,int,boolean,float等),那么#{}里面的变量名可以随意写,什么abc,xxx等等,这个名字和传进来的参数名可以不一致。

2.

如果传进来的是pojo类型,那么#{}中的变量名必须是pojo的属性名,可以写成属性名,也可以写属性名.属性名。

3.

注意:#{}占位符不能解决三类问题

1)动态表名不可以用#{} :Select * from #{table} 

2)动态列名不可以用#{} : select #{column} from table 

3)动态排序列不可以用#{} : select * from table order by #{column}

二、 ${} 拼接符

1.

如果传进来的是基本类型,也就是(string,long,double,int,boolean,float等),那么#{}里面的变量名必须写value。

<delete id="deleteStudentById" >

    delete from student where id=${value}

</delete>

2.

如果传进来的是pojo类型,那么#{}中的变量名必须是pojo的属性名,可以写成属性名,也可以写属性名.属性名。但是由于是拼接的方式,对于字符串我们需要自己加引号

<insert id="insertStudent" parameterType="Student">

    insert into student(name,age,score) values('${name}',${age},${score})

</insert>

与上面一样,不能将类名写进来:

<!--这是错误的-->

<insert id="insertStudent" parameterType="Student">

    insert into student(name,age,score) values('${Student.name}',${Student.age},${Student.score})

</insert>

3.

${}占位符是字符串连接符,可以用来动态设置表名,列名,排序名

动态表名 :select * from table
动态列名:select {column} from table
动态排序 : select * from table order by ${column1} ${column2}
${}可以作为连接符使用,但是这样的方式是不安全的,很容易发生sql注入问题

<select id="selectStudentsByName" resultType="Student">

    select id,name,age,score from student where name like '%${value}%'

</select>

三、#{}与${}区别

能使用#{}的时候尽量使用#{},不使用${}

#{}相当于jdbc中的preparedstatement(预编译),${}是直接使用里面的值进行拼接。
如果解释预编译和直接拼接,我想可以这么理解预编译:比如将一个#{name}传进来,预编译是先将sql语句编译成为模板,也就是我知道你要干什么,假设这个sql是要查询名字为xxx的学生信息,那无论这个xxx里面是什么信息,我都只会去根据名字这一列查询,里面无论写的是什么,都只会当做一个字符串,这个类型在预编译的时候已经定义好了。

${}就不一样,是将语句拼接之后才确定查询条件/类型的,那么就会有被注入的可能性,有些人故意将名字设置为删除条件,这时候sql就变成删除操作了。

所以我们一般类似模糊查询都是用#{}拼接

<select id="selectStudentsByName" resultType="Student">

    select id,name,age,score from student where name like '%' #{name} '%'

</select>

但是对于order by 我们是用不了#{}的,因为用了这个就会被自动转换成字符串,自动加引号,这样语句就不生效了。

<select id="selectStudentsByName" resultType="Student">

    select id,name,age,score from student order by #{column}

</select>

<!--编译出来的结果如下:-->

select * from table order by 'column'

那我们需要怎么处理呢?

我们只能使用${},MyBatis不会修改或转义字符串。这样是不安全的,会导致潜在的SQL注入攻击,我们需要自己限制,不允许用户输入这些字段,或者通常自行转义并检查。所以这必须过滤输入的内容。

BBG_Clown
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Bootstrap-Portfolio:这是我第一次尝试引导(HW w2)的占位符
04-27
自举组合 这是我第一次尝试引导(HW w2)的占位符自述文件 我出于以下几个原因而享有一些自由: 个人美学与创意 在没有CSS的情况下引导程序和格式之间断开连接(包括背景,颜色,字体和组件中的大小) 缺少IDE插件来辅助Bootstrap扩展 父母诉子女诉容器纠纷 在为我的设计选择哪个组件时有些困惑 周六之前时间不够(和借口) 想要开始使用javascript来跟上讲课的步伐 怀疑我没有获得预期的“移动优先”响应,但是我不确定缺少什么/需要反馈 定期参加办公时间,并根据需要提出问题; 使用了辅导时间; 但是,结果并没有取得什么进展(尽管解决了一项技术问题-但还有一个问题变得更糟) 我暂时将这些html文件保留下来,以等待本周的额外时间来完善和更新规格; 但我也希望在奖励中获得一两个奖励点,因为在提交的内容中包含“发行说明”(是的!) 如果技术支持人员有时间并愿意,那么花几分钟查看
connect-placeholderimg:用于生成占位符图像的连接中间件
07-03
#Connect 占位符 用于生成占位符图像的连接中间件 Connect Placeholder 在飞行中生成 PNG 图像。 可以用作的替代品。 图像生成依赖于 Josh Marinacci 的 。 该中间件主要用作的开发中间件。 注意:这是一项正在进行的工作。 期待性能问题和头痛。 安装 通过 npm 安装: npm install connect-placeholderimg --save-dev 用法 在您的 Gruntfile.js connect任务中,需要一个middleware选项中的模块: connect: { options: { middleware : function ( connect , options , middlewares ) { middlewares . unshift ( require ( 'connect-plac
Stefan:一个可以帮助您轻松管理集合和占位符的人
05-06
为什么? 作为移动开发人员,我们所有人都必须处理显示数据收集的问题。 但是,它总是像听起来那样简单吗? 看起来像意大利面吗? 应用程序显示数据/占位符(在某些情况下,例如,取决于加载状态,可能会有所不同)是一种常见的情况,我们中的某些人最终会定义状态并将所有内容纠缠在一起。 Stefan是一个框架,可以帮助您管理集合视图中的状态。 基本上,它是数据源和视图本身之间的中间人。 当然,它开箱即用地支持UITableView和UICollectionView,但是由您决定什么是ReloadableView以及什么PlaceholderView 。 它包含加载数据收集时可能发生的最常用状态。 基本设定 定义Stefan对象,最好的解决方案是为每个ReloadableView定义一个Stefan 。 连接Stefan的reloadableView和placeholderPresenter (
spring-config-jdbc:Spring JDBC 占位符配置器
07-04
Spring JDBC 占位符配置器 这个实现使用 JDBC 数据源和 SQL 语句解析占位符。 大部分测试代码取自。 特拉维斯 CI : 使用示例 构建并安装到本地 Maven 存储库中 ./gradlew publishToMavenLocal 在您的项目中包含一个依赖项 将占位符添加到您的弹簧配置中 < bean xss=removed> < property xss=removed xss=removed> < property name = " selectStatement " value = " SELECT
红外:超轻便的Minecraft反向代理和空闲占位符
02-04
红外线 一种超轻量级的Minecraft反向代理和空闲占位符:您是否曾经想过您的服务器上只有一个暴露端口可用于多个Minecraft服务器? 那么红外就是您需要的工具! 红外作为反向代理使用子域将客户端连接到特定的Minecraft服务器。 对于熟悉的人,它的工作方式类似于Nginx。 产品特点 反向代理 显示占位符服务器 ping时自动启动服务器 记录器回调URL 日志的JSON端点 实时数据的gRPC API 部署 $ docker build --no-cache -t haveachin/infrared:latest https://github.com/haveachi
mybatis拼接占位符区别
Vectory0213的博客
08-06 1580
占位符: 1.#{}占位符可以用来设置参数,如果传进来的是基本类型,也就是(string,long,double,int,boolean,float等),那么#{}里面的变量名可以随意写,什么abc,xxx等等,这个名字和传进来的参数名可以不一致。 2.如果传进来的是pojo类型,那么#{}中的变量名必须是pojo的属性名,可以写成属性名,也可以写属性名.属性名。 拼接: 3.注意:#{...
占位符拼接区别——2017.08.16
weixin_30709809的博客
08-16 247
  占位符:先占住一个固定的位置,等着你往里面添加内部的号。在MyBatis中:"#{ }"表示占位符,1 对于基本类型类型变量,#{ }中变量名称可以随意填写 2 如果传入的是POJO类型变量,传入的必须是POJO对象的属性 拼接:${ }字串原样拼接,1 如果传入的是基本类型变量,${ }中必须填入value值 2 如果传入的是POJO类...
mybatis的#{}占位符和${}拼接区别
qq_32534441的博客
01-25 663
mybatis做为一个轻量级ORM框架在许多项目中使用,因其简单的入门受到了广大开发者的热爱。 #{}占位符:占位 使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句中如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且在使用#{}时形成的sql语句,已经带有引号,例,select * from table1 where ...
mybatis中的#占位符和$拼接区别
qq_45603855的博客
08-10 741
mybatis中的#占位符和$拼接区别一、sql注入1、什么是sql注入2、sql注入示例二、#占位符和$拼接区别三、mybatis如何防止sql注入四、总结   为更好地解释mybatis中的#占位符和$拼接区别,这里对sql注入做一个简单说明。 一、sql注入 1、什么是sql注入   SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 2、sql注入示例   首先定义一个sql字串,来
MyBatis#{}占位符和${}拼接区别
泗水六年的博客
07-24 82
传入的参数在SQL中显示为字串,#方式能够很大程度防止sql注入;$传入的参数在SqL中直接显示为传入的值,$方式无法防止Sql注入。
拼接
qq_29380733的博客
01-15 606
&lt;!--          如果返回结果为集合,可以调用selectList方法,这个方法返回的结果就是一个集合,所以映射文件中应该配置成集合泛型的类型          ${}拼接:字串原样拼接,如果传入的参数是基本类型(string,long,double,int,boolean,float等),那么${}中的变量名称必须是value          注意:拼接有sql注入...
关于java中 String字拼接“+“的讨论
Jackson_h的博客
07-15 1170
程序: public class Test { public static void main(String args[]) { String s1 = "abc"; String s2 = "abc"; String s3 = "abc" + "def"; String ...
Python 拼接串的 7 种方式
最新发布
hmx224_2014的专栏
01-29 1203
我们前面说的“字拼接”,其实是从结果上理解。格式化类:%、format()、template拼接类:+、()、join()插值类:f-string当要处理字串列表等序列结构时,采用join()方式;拼接长度不超过20时,选用+号操作方式;长度超过20的情况,高版本选用f-string,低版本时看情况使用format()或join()方式。
常见连接符
weixin_63231007的博客
03-17 1763
011 command execution 常见连接符 举例 效果 ; A;B 先执行A,再执行B & A&B 简单拼接,A B之间无制约关系 | A|B 显示B的执行结果 && A&&...
2mybatis(和占位符拼接区别)
xiaoxiaoniaoQ的博客
10-11 758
6.2.3. 占位符拼接区别 1.  类型处理: 占位符#{}传递参数时会做参数类型处理, 拼接${}传递参数时不会做类型处理只进行字串原样拼接 2.  安全性: ${}的原样拼接导致它存在安全漏洞,容易产生SQL注入风险 #{}的类型处理会对参数中存在的SQL敏感字先转义然后再映射给SQL,这就不会影响原先的SQL,因此可以有效防止SQL注入。 3.  工作中的应用: ...
Mybatis占位符拼接区别使用场景
shadow_zed的博客
05-01 1024
#占位符和$拼接
weixin_44120790的博客
09-03 258
区别: #{ } 解析为一个 预编译语句(prepared statement)的参数占位符 ?作为参数不作为指令去执行,能防止sql注入; ${ } 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换,不能防止sql注入 sql 预编译:是数据库驱动在发送 sql 语句和参数给 DBMS 数据库管理系统之前对 sql 语句进行编译,这样 DBMS 执行 sql 时,就不需要重新编译。 动态解析:mybatis 在调用 connection 进行 sql 预编译之前,会对s
SQL注入、占位符拼接
喜欢猪猪
06-03 2921
目录 一、什么是SQL注入 二、Mybatis中的占位符拼接 三、为什么PreparedStatement 有效的防止sql注入? 一、什么是SQL注入 官方: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQ..
MyBatis中#{}占位符与${}拼接使用
pan_junbiao的博客
12-02 7312
1、关于#{}占位符 先来看以下的示例,该示例是MyBatis中的SQL映射配置文件(Mapper配置文件),在该配置中使用了#{}占位符。 <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" ...
JDK17中如何使用参数名占位符
06-08
从JDBC4.2开始,Java支持使用参数名占位符,以替代传统的问号占位符。在JDK17中,使用参数名占位符需要遵循以下步骤: 1. 将MySQL的驱动程序升级到版本8.0.23或以上,因为版本8.0.23中提供了对JDBC4.2的支持。 2. 在连接MySQL数据库时,需要在连接字串中添加`rewriteBatchedStatements=true`参数,以开启批量执行功能。 3. 在SQL语句中使用冒号加上参数名的方式来代替传统的问号占位符。 4. 使用PreparedStatement对象的setXXX()方法来设置参数值,其中XXX表示参数类型,例如setInt()、setString()等方法。 5. 在设置参数值时,需要使用参数名来代替参数位置,例如ps.setInt("id", 1)。 以下是使用参数名占位符实现查询的示例代码: ```java import java.sql.*; public class MySQLDemo { public static void main(String[] args) { String url = "jdbc:mysql://localhost:3306/mydatabase?rewriteBatchedStatements=true"; // 数据库连接地址 String user = "root"; // 数据库用户名 String password = "123456"; // 数据库密码 try { // 1. 加载MySQL驱动程序 Class.forName("com.mysql.cj.jdbc.Driver"); // 2. 创建数据库连接 Connection con = DriverManager.getConnection(url, user, password); // 3. 创建PreparedStatement对象,使用参数名占位符 PreparedStatement ps = con.prepareStatement("SELECT * FROM students WHERE id=:id"); // 4. 设置查询参数 ps.setInt("id", 1); // 5. 执行查询 ResultSet rs = ps.executeQuery(); // 6. 处理查询结果 while (rs.next()) { int id = rs.getInt("id"); String name = rs.getString("name"); int age = rs.getInt("age"); System.out.println("id: " + id + ", name: " + name + ", age: " + age); } // 7. 关闭资源 rs.close(); ps.close(); con.close(); } catch (ClassNotFoundException | SQLException e) { e.printStackTrace(); } } } ``` 需要注意的是,由于使用参数名占位符的方式需要在连接字串中添加`rewriteBatchedStatements=true`参数,因此一定要小心防止SQL注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值