Mybatis中的#{}和${}区别

最新推荐文章于 2024-05-31 10:46:10 发布
最新推荐文章于 2024-05-31 10:46:10 发布
阅读量105 收藏
点赞数
文章标签: java
原文链接:https://my.oschina.net/u/3421709/blog/1503568
版权
  • #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。
    如: 
    		select 
			id,                    <!-- 主键 -->
			student_name             <!-- 学生名称 -->
		from t_student where student_name = #{studentName}
    如果传入的值是 小明 ,那么解析成sql时的值为 where student_name = "小明"
     
  • $将传入的数据直接显示生成在sql中, ${}并不会将里面的数据转成字符串 。
     

二者的用法与区别

默认情况下,使用 #{ } 格式的语法会导致 MyBatis 创建预处理语句属性并以它为背景设置安全的值(比如 ?)。

#{}格式的sql能够预编译,能在内存中保存sql语法,不用重新组装sql语法。

这样做很安全,很迅速,尽量首选使用#{ }

但,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像 ORDER BY , 你可以这样来使用:

		select 
			*
		from ${tableName} ORDER BY ${columnName}

这里 MyBatis 不会修改或转义字符串。

如果sql语句中使用动态的表或者列,请使用$符号!

 

PS:

接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击

因此你不应该允许用户输入这些字段,或者通常自行转义并检查。

转载于:https://my.oschina.net/u/3421709/blog/1503568

chuojiandi3387
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mybatis的#和$使用和区别
学无止境
02-27 762
mybatis的#和$使用和区别
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
Mybatis#和$的区别
伏颜的博客
07-11 1万+
Mybatis#和$的区别
Mybatis #和$的区别是什么?
牛肉胡辣汤
08-22 254
​时,MyBatis会将参数值以安全的方式替换到SQL语句,使用的是PreparedStatement的预编译机制。​时,参数值会直接替换到SQL语句,需要注意防止SQL注入攻击的风险。需要注意的是,使用​。​是安全的占位符,适合用于大部分情况下,并且推荐在编写MyBatis SQL语句时使用​。​是字符串替换的占位符,适合用于一些特殊的需求,但需要注意防止SQL注入攻击。​是字符串替换的占位符,它直接将参数的字符串值替换到SQL语句。​进行占位符的标识,而是直接使用了​。​下面是一个使用​​。
mybatis#和$有什么不同
m0_73878473的博客
01-04 765
#和$两者含义不同 #会把传入的数据都当成一个字符串来处理,会在传入的数据上面加一个双引号来处理。 而$则是把传入的数据直接显示在sql语句,不会添加双引号。 两者的实现方式不同 1、$作用相等于是字符串拼接 2、#作用相当于变量值替换 #和$使用场景不同 1、在sql语句,如果要接收传递过来的变量的值的话,必须使用#。因为使用#是通过PreparedStement接口来操作,可以防止sql注入,并且在多次执行sql语句时可以提高效率。 2、$只是简单的字符串拼接而已,所以要特别小心sq
mybatis#和$的区别
aaaaAyy12的博客
09-04 1万+
mybatis#和$的区别是什么 在mybatis#和KaTeX parse error: Expected 'EOF', got '#' at position 8: 的主要区别是:#̲传入的参数在SQL显示为字符…传入的参数在SqL直接显示为传入的值,$方式无法防止Sql注入。 MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映
MyBatis#和$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 1072
#{}和${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
mybatis#和$的区别(通俗简单易解版)
热门推荐
奋斗男孩的博客
12-23 2万+
mybatis#和$的主要区别是:#传入的参数在SQL显示为字符串,#方式能够很大程度防止sql注入;$传入的参数在SqL直接显示为传入的值,$方式无法防止Sql注入. 1、传入的参数在SQL显示不同 #传入的参数在SQL显示为字符串(当成一个字符串),会对自动传入的数据加一个双引号。 例:使用以下SQL select id,name,age from student where id =#{id} 当我们传递的参数id为 "1" 时,上述 sql 的解析为: select id
Mybatis】深度解析MyBatis#和$的差异
AliceNo的博客
01-03 1832
MyBatis,SQL语句的构建是一个关键的环节,而参数的传递则是其一个重要的考虑因素。在MyBatis,我们通常使用和两种不同的参数替换方式。这两种方式在SQL语句的执行有着不同的作用和安全性考虑。在本文,我们将深入探讨和的区别,以及它们在实际应用的使用场景和注意事项。在MyBatis选择合适的参数替换方式对于应用程序的性能和安全性至关重要。提供了一种预编译的方式,有效防范了SQL注入攻击,是一个更为安全的选择。而则是直接将参数值拼接到SQL语句,需要谨慎使用以防止潜在的安全风险。
面试题:mybatis# 和 $ 的区别
weixin_43950588的博客
06-23 500
面试题:mybatis# 和 $ 的区别
mybatis的#和$的区别
daimenglaoshi的博客
09-19 941
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sql为order by id.3. #方式能够很大程度防止sql注入,所以传值的时候用#{}。
浅谈mybatis的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
浅谈Mybatis #和$区别以及原理
08-18
主要介绍了浅谈Mybatis #和$区别以及原理,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
主要介绍了Mybatis#{}和${}传参的区别及#和$的区别小结 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
Mybatis下动态sql##和$$的区别讲解
08-26
今天小编就为大家分享一篇关于Mybatis下动态sql##和$$的区别讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
operator <=> (spaceship operator)
janeqi1987的专栏
05-28 996
= 与!= 操作符为了检查是否相等,现在定义== 操作符就够了。当编译器找不到表达式的匹配声明a!=b 时,编译器会重写表达式并查找!(a==b)。若这不起作用,编译器也会尝试改变操作数的顺序,所以也会尝试!(b==a):a!=b,!(b==a)因此,对于TypeA 的a 和TypeB 的b,编译器将能够识别并编译a!= b若需要的话,可以这样做• 一个独立函数operator!• 一个独立函数operator==(TypeA, TypeB)
Java 异常处理try-catch块、finally子句以及自定义异常的使用
最新发布
Itmastergo的博客
05-31 792
异常是程序运行过程出现的非正常情况。Java 使用异常类(Exception 类及其子类)来表示这些异常情况。异常处理的核心思想是将正常的程序流程与异常处理流程分离开来,使代码更加清晰和可维护。Throwable 类:所有异常和错误的基类。Error 类:表示系统级的错误,程序通常无法处理,比如内存不足(OutOfMemoryError)。Exception 类:表示程序可以处理的异常情况。RuntimeException 类。
Java手动启动jar包
liangweihao的博客
05-29 293
【代码】Java手动启动jar包。
java调用cmd执行命令
weixin_45210565的博客
05-28 257
3、exec(String command, String[] envp) ,在调用外部程序之前设置系统环境变量,该变量仅供command入参使用,envp每个元素为一个系统环境变量,并且字符串格式为“环境变量名=环境变量值”。2、exec(String[] cmdArray) ,调用外部程序,入参cmdArray的元素将组合成为一条完整的外部可执行程序的启动路径或命令。1、exec(String command) ,调用外部程序,入参command为外部可执行程序的启动路径或命令。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值