mybatis#和$方式的区别,包括注解

最新推荐文章于 2024-03-14 16:46:57 发布
最新推荐文章于 2024-03-14 16:46:57 发布
阅读量272 收藏
点赞数
原文链接:https://my.oschina.net/u/2367115/blog/508911
版权

最近在测试SQL 注入,对#和$2种参数引用方式做了各种测试。发现网上转的都很简单,现在整理明确下:

1、#{param} ,等同perpare statment的?方式。

如select * from user where name = #{name} == select * from user where name = ?


2、${param},等同statment中,使用字符串直接连接参数。

如String name = "admin";

select * from user where name = '${name}'  (字符串前后必须用'包围) 

等同 "select * from user where name = '" + name +"'";

3、#{} 支持数字,分别用#{0},#{1}...,而${}不支持。此时参数不能使用 @Param注解。

4、在接口里面,如果参数使用@Param("value")注解,则支持#{注解value},而${}不支持

5、${}不支持多参数,多个${}出现,必须使用一个javabean,而#{}无此限制


转载于:https://my.oschina.net/u/2367115/blog/508911

chouhepei8945
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MyBatis 注解版 ( 三 ) ${}和 #{}的区别
zhanglinlang的专栏
11-14 2055
${} 直接填充 #{} 会预编译 例如: select * from ${table} where ${column} =1; 出入 table= user column = id select * from user where id =1;如果使用 #{} 就变成: select * from #{table} where #{column} =1; select * from 'user
MyBatis中#{}和${}的区别详解
莫日向西的博客
09-02 503
最近在用mybatis,之前用过ibatis,总体来说差不多,不过还是遇到了不少问题,再次记录下. 先给大家介绍下MyBatis中#{}和${}的区别,具体介绍如下: 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为
mybatis中$和#的区别以及各自的使用场景
最新发布
2301_77760093的博客
03-14 1305
在 MyBatis 中,$ 和 # 都是用于参数绑定的,但它们之间存在明显的差异,主要体现在参数的预处理方式和安全性上。
Mybatis的#和$符号的区别
zhang150114的博客
05-26 419
mybatis做为一个轻量级ORM框架在许多项目中使用,因其简单的入门受到了广大开发者的热爱。在近期项目中再做一个相关的开发,碰到了#、$符号这样的问题,之前没怎么注意过,通过学习之后,有了点感悟,分享如下, #{} 使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句中如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且在使用...
#{}与${}的区别
小码哥222的博客
09-19 606
#{}表示一个占位符号 通过#{}可以实现 preparedStatement 向占位符中设置值,自动进行 java 类型和 jdbc 类型转换, #{}可以有效防止 sql 注入。 #{}可以接收简单类型值或 pojo 属性值。 如果 parameterType 传输单个简单类型值,#{}括号中可以是 value 或其它名称。 ${}表示拼接 sql 串 通过${}可以将 paramete...
详解mybatis #{}和${}的区别、传参、基本语法
08-18
MyBatis提供了多种传参方式包括注解注解两种。 非注解传参 1. 单参数: public User getUserByUuid(String uuid); SELECT * FROM t_user WHERE uuid = #{uuid} 2. 多参数: public User ...
springmvc和mybatis框架整合(注解和非注解
04-11
SpringMVC和MyBatis是两个非常流行的Java Web开发框架,SpringMVC作为控制器层,负责处理HTTP请求,而MyBatis则是一个轻量级的...在实际项目中,可以根据需求选择注解或非注解方式,以达到最佳的代码可读性和维护性。
SpringMvc+Spring+Mybatis+Maven+注解方式=整合
08-22
"SpringMvc+Spring+Mybatis+Maven+注解方式"是一个经典的Java后端技术栈,它整合了四个关键组件,为开发人员提供了强大的工具和框架支持。下面将详细讲解这四个组件及其整合方式。 1. **Spring Framework**: ...
Mybatis基于注解实现多表查询功能
08-25
Mybatis基于注解实现多表查询功能 Mybatis基于注解实现多表查询功能是指使用...本文介绍了Mybatis基于注解实现多表查询功能的基本概念、优点、步骤和示例代码,希望能够帮助开发者更好地理解和使用Mybatis框架。
springboot使用Mybatis(xml和注解)过程全解析
08-26
Spring Boot 使用 MyBatis(xml 和注解) 过程全解析 一、MyBatis 简介 MyBatis 是一个 Persistence 框架,提供了一个简单的方法来执行数据库操作。MyBatis 使用 XML 或注解来映射 SQL 语句到 Java 对象上。MyBatis ...
Mybatis中的 # 和 $
Cbuc丶的博客
09-02 927
浅谈Mybatis 中的 # 和 $ 在使用mybatis的mapper文件中,对于传递的参数我们一般是使用#和$来获取参数值。 使用#时变量是占位符,就是一般我们使用java jdbc的PrepareStatement时的占位符?,所有可以防止sql注入 使用$时,变量就是直接追加在sql中,一般会有sql注入问题。 1、#{ }是预编译处理,MyBatis在处理#{ }时,它会将s...
#{}和${}有什么区别
冰蛙
07-30 485
#{}代表占位符传参,底层是通过preparedStatement来实现的,对sql语句预编译可以防止sql注入,更安全 ${}代表字符串拼接,不安全
#{}和${}
努力赚钱就可以住更好的养老院
07-24 1万+
#{}:表示一个占位符号,通过#{}可以实现preparedStatement向占位符中设置值,自动进行java类型和jdbc类型转换,#{}可以有效防止sql注入。 #{}可以接收简单类型值或pojo属性值。 如果parameterType传输单个简单类型值,#{}括号中可以是value或其它名称。 “%”#{name}”%” ${}:表示拼接sql串,通过${}可以将parameterTy...
mybatis中"#"和"$"的区别
weixin_33972649的博客
09-18 1182
  动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。   在下面的语句中,如果 username 的值为 zhangsan,则两种方式无任何区别:    select * from user where na...
#{} 和 ${}区别
baishancha的博客
07-03 4619
{} 和 ${}区别 #{}在引用时,如果发现目标是一个字符串,则会将其值作为一个字符串拼接在sql上,即拼接时自动包裹引号 ${}在引用时,即使发现目标是一个字符串,也不会作为字符串处理,拼接在sql时不会自动包裹引号 例如: 所以通常情况下,使用#{} insert into user values (null,#{name},55); --> insert into user valu...
#{}和${}的区别
飞翔的小白
11-19 8998
#{}和${}的区别:          #{}表示一个占位符号,通过#{}可以实现preparedStatement向占位符中设置值,自动 进行java类型和jdbc类型转换。         #{}可以有效防止sql注入。         #{}可以接收简单类型值或pojo属性值。 如果parameterType传输单个简单类型值,#{}括号中可以是value或其它名称。    ...
mysql语法之--#与$符号关键字的用法(一)
qq_31104067的博客
12-30 5039
一、#与$ 的sql拼接区别       1、${param}传递的参数会被当成sql语句中的一部分,比如传递表名,字段名            例子:(传入值为id)                     order by ${param}                      则解析成的sql为:                      order b
mybatis中的#和$区别
热门推荐
kobi521的专栏
11-25 11万+
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的
Mybatis中#{}和${}的区别是什么
辰兮要努力
02-22 7615
【辰兮要努力】:hello你好我是辰兮,很高兴你能来阅读,昵称是希望自己能不断精进,向着优秀程序员前行! 博客来源于项目以及编程中遇到的问题总结,偶尔会有读书分享,我会陆续更新Java前端、后台、数据库、项目案例等相关知识点总结,感谢你的阅读和关注,希望我的博客能帮助到更多的人,分享获取新知,大家一起进步! 吾等采石之人,应怀大教堂之心,愿你们奔赴在各自的热爱中… 文章目录一、文章序言二、业务场景三、补充讲解 一、文章序言 开局分享一波干货欢迎打卡! SSM框架常考面试题汇集 JAVA常见基础面试.
mybatis中#和$区别
08-06
MyBatis 可以使用简单的 XML 或注解来配置和映射原语,将接口和 Java 的 POJO 映射到数据库中的记录。 ### 回答2: MyBatis是一个开源的持久层框架,它可以与关系型数据库进行交互。在使用MyBatis时,我们需要定义...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值