Mybatis中# 和 $ 的使用详解

最新推荐文章于 2024-08-02 16:18:07 发布
最新推荐文章于 2024-08-02 16:18:07 发布
阅读量9k 收藏 8
点赞数 2
分类专栏: # MyBatis / Plus 文章标签: mybatis# $ #
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/j080624/article/details/55054565
版权

【1】#和$使用对比

① #和$详解

在JDBC中,主要使用的是两种语句:

  • 一种是支持参数化和预编译的PrepareStatement,能够支持原生的Sql,也支持设置占位符的方式,参数化输入的参数,防止Sql注入
  • 一种是支持原生Sql的Statement,有Sql注入的风险。

    #{key}:获取参数的值,预编译到SQL中。安全。
    ${key}:获取参数的值,拼接到SQL中。有SQL注入问题。ORDER BY ${name}

在使用Mybatis进行开发过程中,隐藏了底层具体使用哪一种语句的细节,我们通过使用#和$告诉Mybatis,我们实际上进行的是怎么样的操作,需要对语句进行参数化还是说直接保持原生状态就好。

在Mybatis的mapper.xml中经常看到这两个符号,其中 # 频率最高。

如下:

<insert id="insertUSer" parameterType="User" >
	insert into c_user (name,age)
	values(#{name},#{age})
</insert>

或者如下:

//...
<if test="SORTNAME !=null and SORTNAME !='' ">
	order by ${SORTNAME}
	<if test="SORTORDER !=null and SORTORDER !='' ">
		${SORTORDER} 
	</if>
</if>
limit ${(page-1)*pagesize},${pagesize}

下面说明一下二者的用法与区别

默认情况下,使用 #{ } 格式的语法会导致 MyBatis 创建预处理语句属性并以它为背景设置安全的值(比如 )。

这样做很安全,很迅速,也是首选的做法 !

但有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像 ORDER BY , 你可以这样来使用:

ORDER BY ${columnName}

这里 MyBatis 不会修改或转义字符串。如果sql语句中使用动态的表或者列,请使用$符号

接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的,这会导致潜在的SQL注入攻击。因此你不应该允许用户输入这些字段,或者通常自行转义并检查。

② 使用#或者说PrepareStatement如何防止SQL攻击?

比如说根据学生姓名查学生信息,会传入一个name的参数,假设学生姓名是方方,那么Sql就是:

SELECT id,name,age FROM student WHERE name = '方方';

在没有做防Sql注入的时候,我们的Sql语句可能是这么写的

<select id="fetchStudentByName" parameterType="String" resultType="entity.StudentEntity"> 
SELECT id,name,age FROM student WHERE name = '${value}' 
</select>

但如果我们对传入的姓名参数做一些更改,比如改成anything' OR 'x'='x,那么拼接而成的Sql就变成了:

SELECT id,name,age FROM student WHERE name = 'anything' OR 'x'='x'

库里面所有的学生信息都被拉了出来,是不是很可怕。原因就是传入的anything’ OR ‘x’='x和原有的单引号,正好组成了 ‘anything’ OR ‘x’='x’,而OR后面恒等于1,所以等于对这个库执行了查所有的操作。

防范Sql注入的话,就是要把整个anything’ OR ‘x’='x中的单引号作为参数的一部分,而不是和Sql中的单引号进行拼接

使用了#即可在Mybatis中对参数进行转义:

<select id="fetchStudentByName" parameterType="String" resultType="entity.StudentEntity"> 
SELECT id,name,age FROM student WHERE name = #{name} 
</select>

我们看一下发送到数据库端的Sql语句长什么样子。

SELECT id,name,age FROM student WHERE name = 'anything\' OR \'x\'=\'x'

从上述代码中我们可以看到参数中的所有单引号统统被转义了,这都是JDBC中PrepareStatement的功劳。如果在数据库服务端开启了预编译,则是服务端来做了这件事情。

【2】使用动态表或列

有时候会不可避免使用动态表或者列进行业务处理。下面学习几种动态表/列的使用方式(其本质核心是使用$获取表名或列名):

① 使用预编译

即,默认值。

<select id="hisNumber" parameterType="hashmap" resultType="hashmap"  >
     select number from ${oldTableName} 
<!--这里使用"$"!!!-->
where name=#{name} and date = #{date}
<!--这里使用"#"-->
<select>

预编译,即首先会生成select number from ? where name=? and date=? 这样使用”?”作为占位符的语句,然后进行参数解析。

② 使用非预编译

<select id="hisNumber" parameterType="hashmap" resultType="hashmap" statementType="STATEMENT" >
     select number from ${oldTableName} 
<!--这里使用"$"!!!-->
where name='${name,jdbcType=VARCHAR}' and date = '${date,jdbcType=TIMESTAMP}'
<select>

注意后面name和date的取值,使用了'${name}' 格式,这样会对参数进行数据类型转换,有助于mysql查询时提升性能。

仍旧使用非预编译

<select id="hisNumber" parameterType="hashmap" resultType="hashmap" statementType="STATEMENT" >
     select number from ${oldTableName} 
<!--这里使用"$"!!!-->
where name=${name} and date = ${date}
<select>

注意后面name和date的取值,使用了${name} 格式,将会直接取参数值,不进行数据类型转换。当参数为数值类型且格式如“00124”时,将会出现数据错读(会将0124、124等都读出来)。

流烟默
关注
专栏目录
mybatis的#和$的区别
kobi521的专栏
11-25 11万+
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是111,那么解析成sql时的
MyBatis#{}和${}的区别详解
09-01
在SQL语句使用`#{}`时,MyBatis会将传入的值转化为一个问号(?)代表的参数,例如`WHERE user_id = #{user_id}`。这样做的好处是能够防止SQL注入攻击,因为数据库会将这些参数视为预定义的值,而不是直接拼接到SQL...
MyBatis ${}和 #{}的正确使用方法(千万不要乱用)
08-18
主要介绍了MyBatis ${}和 #{}的正确使用方法,本文给大家提到了MyBatis ${}和 #{}的区别,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
MyBatis #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1280
1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
Mybatis实战:#{} 和 ${}的使用区别和数据库连接池
最新发布
LHY537200的博客
08-02 1604
{} 和 ${}#{} 和 ${} 在MyBatis框架都是用于SQL语句参数替换的标记,但它们在使用方式和处理参数值上存在一些显著的区别。特点1.1Interger类型的参数1.先看Interger类型的参数2.观察日志3.查看日志的输出语句我们输⼊的参数并没有在后⾯拼接,id的值是使⽤?进⾏占位. 这种SQL 我们称之为"预编译SQL"。4.我们把#{}改成${}5.再次查看输出日志信息可以看到, 这次的参数是直接拼接在SQL语句了。
Mybatis的$和#
sillyyyy的博客
05-08 2658
在SQL语句执行时,Mybatis会将$占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用$占位符可以在某些情况下提高SQL语句的性能,因为在预编译时不需要处理参数占位符。#用于预编译,表示参数占位符,例如:#{username}。在SQL语句执行时,Mybatis会将占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用#占位符可以有效地防止SQL注入攻击,因为Mybatis会将参数值转义后再替换占位符。使用哪种占位符取决于具体的需求,如果需要防止SQL注入攻击,则应该使用#占位符;
mybatis的#{}和${}
submorino的专栏
11-25 2447
mybatis的#{}和${} 1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1)   1)#{}为参数占位符?,即sql 预编译   2)${}为字符串替换,即sql 拼接 (2)   1)#{}:动态解析 ->预编译-> 执行   2)${}:动态解析 ->编译-> 执行 (3)   1)#{}的变量替换是在DBMS   2)${}...
Mybatis之#{}与${}的区别使用详解
08-19
Mybatis之#{}与${}的区别使用详解 Mybatis是一款流行的持久层框架,它提供了两种方式来从数据库获取数据,即#{}和${}。这两种方式都可以用来从数据库获取数据,但是它们有着不同的使用场景和优缺点。 #{}的...
Mybatis#{}与${}的区别详解
08-25
Mybatis#{}与${}的区别详解 Mybatis 的 #{} 与 ${} 是两个不同的占位符号,用于实现动态 SQL,两者的主要区别在于防止 SQL 注入的能力。#{} 能够很大程度防止 SQL 注入,而 ${} 方式无法防止 SQL 注入。 #{} ...
详解Mybatis的 ${} 和 #{}区别与用法
08-18
Mybatis的 ${} 和 #{}区别与用法详解 Mybatis 是一个基于 Java 的持久层框架,它提供了一个简单的方式来进行数据库操作。在 Mybatis 使用 ${} 和 #{} 两种方式来传递参数,但它们之间有着很大的区别。 ${} ...
Java Mybatis的 ${ } 和 #{ }的区别使用详解
08-18
Java Mybatis的 ${ } 和 #{ } 的区别使用详解 Java Mybatis 的 ${ } 和 #{ } 是两个不同的占位符,都是用于在 Mybatis 进行动态 SQL 语句的构建和参数传递。然而,这两个占位符在使用时有着极其重要的区别。 ...
一文解惑mybatis的#{}和${}
一个菜鸡的博客
07-19 5727
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
mybatis的#和$
yangyou55的博客
06-02 525
#相当于对数据 加上 双引号,$相当于直接显示数据 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".  2. $将传入的数据直接显示生成在sql。如:order by $user_id$,如...
mybatis #{} 以及 ${}
minzhang001的博客
10-23 1万+
动态 sql 是 mybatis 的主要特性之一,在 mapper 定义的参数传到 xml 之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 在下面的语句,如果 username 的值为 zhangsan,则两种方式无任何区别:select * from user where name = #{name
MyBatis #与$的区别
热门推荐
x
01-22 2万+
今天在工作有个点击排序的功能调试了许久,终寻因,总结之。   需求是这样的,页面有个table,有一列的上下箭头可点击并排序。对于这种需求,我的mybatis.xml的sql配置写成了如下:<if test="map.ColumnNameSort!=null and map.ColumnNameSort!=''">   ORDER BY columnName #{map.ColumnNameS
mybatis的#和$的区别?
gol_phing的博客
08-12 829
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为
Mybatis #和$
苍漠胡杨
12-30 231
mybatis的mapper文件,对于传递的参数我们一般是使用#和$来获取参数值。当使用#时变量是占位符,就是一般我们使用java jdbc的PrepareStatement时的占位符?,所有可以防止sql注入当使用$时,变量就是直接追加在sql,一般会有sql注入问题。一个问题就是:在使用mybatis传递时间变量时,如果通过#方式获取变量值,可能会出现与数据库的字段的类型不匹配错误,一般我
Mybatis#和$的区别
伏颜的博客
07-11 1万+
Mybatis#和$的区别
MyBatis的#{}和${}的用法
heliuerya的博客
06-15 2576
在实际开发有些数据量非常大,需要分表存储,然后分表查询,比如:日志信息表基本上是每天一张表,现有多张日志信息表:log_20230101、log_20230102、log_20230103…比如:在查询某班全体学生并按照姓名按照升序/降序排列的sql语句,当需要传入关键字asc"或"desc"的时候需要使用${}而不能使用#{},像这种需要传入。先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。的sql语句需要使用${},其它情况需要使用#{},用来防止出现sql注入现象。
MyBatis 3文指南:详解配置与使用
MyBatis 3 是一个流行的 Java ORM (对象关系映射) 框架,它允许...对于开发者来说,这是一份实用的参考资料,可以帮助他们高效地使用 MyBatis 进行数据库操作,同时提醒用户注意代码示例的正确使用和文档的贡献方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

流烟默

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值