MyBatis中#号与美元符号的区别

最新推荐文章于 2024-03-07 23:45:00 发布
最新推荐文章于 2024-03-07 23:45:00 发布
阅读量6.2k 收藏 11
点赞数 3
文章标签: mybatis sql注入 sql 数据库

MyBatis中#号与美元符号的区别


  1. #{变量名}可以进行预编译、类型匹配等操作,#{变量名}会转化为jdbc的类型。

    select * from tablename where id = #{id}
    假设id的值为12,其中如果数据库字段id为字符型,那么#{id}表示的就是'12',如果id为整型,那么id就是12,并且MyBatis会将上面SQL语句转化为jdbc的select * from tablename where id=?,把?参数设置为id的值。

  2. ${变量名}不进行数据类型匹配,直接替换。

    select * from tablename where id = ${id}
    如果字段id为整型,sql语句就不会出错,但是如果字段id为字符型, 那么sql语句应该写成select * from table where id = '${id}'。

  3. #方式能够很大程度防止sql注入。

  4. $方式无法方式sql注入。

  5. $方式一般用于传入数据库对象,例如传入表名。

  6. 尽量多用#方式,少用$方式。

  7. mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入。其实Mybatis的sql是一个具有“输入+输出”功能,类似于函数的结构,如下:
    select id="getBlogById" resultType="Blog" parameterType=”int”>

    select id,title,author,content 
    from blog where id=#{id} 
    </select> 
    这里,parameterType标示了输入的参数类型,resultType标示了输出的参数类型。回应上文,如果我们想防止sql注入,理所当然地要在输入参数上下功夫。上面代码中高亮部分即输入参数在sql中拼接的部分,传入参数后,打印出执行的sql语句,会看到sql是这样的:
    select id,title,author,content from blog where id = ?
    不管输入什么参数,打印出的sql都是这样的。这是因为mybatis启用了预编译功能,在sql执行前,会先将上面的sql发送给数据库进行编译,执行时,直接使用编译好的sql,替换占位符“?”就可以了。因为sql注入只能对编译过程起作用,所以这样的方式就很好地避免了sql注入的问题。

java1993666
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MyBatis美元符号区别
litlit023的专栏
02-26 2436
参考链接 MyBatis美元符号区别 - coderland - 博客园
$符号的三种用法
guanhuazhan的博客
11-11 3240
1.显示脚本参数 $$: 该脚本本身的进程ID,即当前进程的ID $!: 脚本最后运行的后台Process的PID $?: 上一指令的返回值,成功是0,不成功是1。 $* 和 $@: 该脚本调用时的所有参数列表。 $*与$@ 功能相同,区别在于“$*”返回的是一个字串,字存在多个空格,而“$@”返回多个字串。 $#: 运行该脚本时的参数个数 $0: 该shell脚本本身的名字 $1 到 $n: 第1个参数,第2个参数……第n个参数。但是第10个参数及以上需要用${10}、 ${11}来显示。
mybatis,#和$的区别
qq_55471073的博客
11-15 1465
#与$ 井美元符号使用的区别: #占位,表示列值放在等的右侧,而且使用的是jdbc的preparedStatement效率高没有sql注入的风险。 $占位,是表示字串的连接,使用的是Statement效率低有sql注入风险。 ...
mybatis详细学习教程(建议收藏)
最新发布
lanan666998的博客
03-07 2635
猛淦两万字,只为图君一笑!
Mybatis#和$的区别
热门推荐
伏颜的博客
07-11 1万+
Mybatis#和$的区别
spring配置文件如何表达属性值美元
白乔专栏
11-10 1462
使用如下方式: #{'$'}
Mybatis之#{}与${}的区别使用详解
08-19
主要介绍了Mybatis之#{}与${}的区别详解,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
浅谈mybatis的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Mybatis#{}与${}的区别详解
08-25
主要介绍了Mybatis#{}与${}的区别详解,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
主要介绍了Mybatis#{}和${}传参的区别及#和$的区别小结 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
ibatis美元符号区别(#、$)
wangzhantao的专栏
08-31 238
##这个符号内部会以预编译的形式出入数据, $$这个符号内部数据会直接以String的形式插入sql &lt;![CDATA[id &lt;  #id# ]]&gt; 特殊符号要用CDATA区域括起来 &lt;select id="selectZX" parameterClass="java.util.HashMap" resultClass="Content"&gt; select ...
linux美元符号切换为井,MyBatis美元符号区别
weixin_28928727的博客
05-12 1565
WebSphere性能优化的几个方法1.更改http server的配置文件参数KeepAlive. 原因:这个值说明是否保持客户与HTTP SERVER的连接,如果设置为ON,则请求数到达MaxKeepAliveRequest ...Powershell-获取命令和帮助Get-Help 获取命令的帮助文档 Update -Help 更新帮助文档 Save-Help 保存文档 Get-He...
mybatis$和井区别
u013803262的专栏
10-10 6880
mybatis$和井区别
[转]ibatis美元符号区别(#、$)
weixin_30733003的博客
09-04 129
Mybatis如何在SQL语句表名使用参数 insert into prefix_${table_name} (a, b, c) values (#{a}, #{b}, #{c}) ${} 表示直接使用字面量(literal value) #{} 表示这个是个参数 如果 table_name 是 “ABC” 则 ${table_name} 是 ABC #{table_name}...
mysql美元符号_Mybatis#美元符号$符号区别
weixin_33973421的博客
02-02 2760
1.#{变量名}可以进行预编译、类型匹配等操作,#{变量名}会转化为jdbc的类型。select * from tableName where id = #{id}假设id的值为12,其如果数据库字段id为字型,那么#{id}表示的是‘12’;如果是整型,则id的值为12,并且Mybatis会将上面SQL语句转化为jdbc的 select * from tableName where id =...
xml${}的使用含义(美元符号大括,以Spring、ibatis、mybatis为例)
leoma2012的博客
05-05 1万+
文章: https://my.oschina.net/u/574036/blog/789867
mybatis的#和$区别
猪猪
08-12 8840
转载自:http://blog.csdn.net/leo_ace/article/details/72824962         使用mybatis时动态传参,我们都知道使用#{},这也是绝大多数场景用到的,       当需要在后台拼接查询参数,放入in,拼接的参数格式为‘p001','p002','p003'这样的,in条件的写法in (#{product}) 结果就是查询不到数据...
Mybatis # 与$的区别
09-23
与传统的JDBC相比,Mybatis提供了更简洁、灵活的方式来执行SQL语句并映射数据到Java对象Mybatis的核心思想是将SQL语句与Java代码进行分离,通过使用XML或注解来描述SQL语句的编写和映射规则。这样可以使得SQL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值