MyBatis学习总结(八)——#{}和${}的区别以及实现排序

最新推荐文章于 2021-05-04 10:28:14 发布
最新推荐文章于 2021-05-04 10:28:14 发布
阅读量229 收藏
点赞数
分类专栏: MyBatis 文章标签: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javalean/article/details/80247288
版权

一、新需求和问题

    根据前面学习的内容,我们做这样一个简单的查询需求:对user表进行按性别查询并按年龄排序。实现如下:

映射文件配置:

  <select id="getUserList"  resultType="User">
        select * from user where sex=#{sex} order by #{ageCol} 
  </select>
接口声明和调用示列: 
public List getUserList(@param("sex")String sex,@param("ageCol")String column);   
List<User> userList = userOperation.getUserList(1,"age");
上面的程序执行看起来没问题,但是实际执行起来并不会对,发现 按要求查询了数据,但是没有进行按要求排序

二、解决办法

在映射配置文件中进行如下修改:

  <select id="getUserList"  resultType="User">
        select * from user where sex=#{sex} order by ${ageCol} 
  </select>

 修改说明:即将#{ageCol}修改为${ageCol},通过将#修改为$后,执行程序发现满足需要,查出了数据并按要求排序了。

三、解析问题(#{}和${}的区别)

    1. #{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #{ageCol},如果参数传入的值是字符串“age”,那么解析成sql时的值为order by "age", 如果传入的值是id,则解析成的sql为order by "id".

    2. ${}将传入的数据直接显示生成在sql中。如:order by#{ageCol},如果参数传入的值是字符串“age”,那么解析成sql时的值为order by age, 如果传入的值是id,则解析成的sql为order by id.

    3. #{}方式能够很大程度防止sql注入。

    4.${}方式无法防止Sql注入,存在一定风险。

    5.${}方式一般用于传入数据库对象,例如传入表名、列名.

    6.一般能用#的就别用$,除非要传入数据库对象.

重要: 默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法;使用${}接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。
代码呆呆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MyBatis ${} 和 #{}的区别 以及动态排序实现
陌心的博客
11-30 418
在我们操作MyBatis的时候,sql语句 输入参数时,需要用#{xx} 或 ${xx} 来传值 例如查学生Id: <select id="queryStudentBySno" resultType="Student" parameterType="int"> select * from Student where id = #{id} </select> ...
Mybatis下动态sql中##和$$的区别讲解
08-26
今天小编就为大家分享一篇关于Mybatis下动态sql中##和$$的区别讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
浅谈Mybatis #和$区别以及原理
08-18
主要介绍了浅谈Mybatis #和$区别以及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习
Mybatis 中 ${} 和 #{} 区别
Andy's Blog
03-01 490
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".  2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为orde...
mybatis中"#"和"$"的区别
weixin_34245749的博客
04-23 126
动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 mybatis本身的说明: String Substitution By default, using the #{} syntax will cause...
记录一:mybatis实现动态排序
qq_41474848的博客
09-21 974
在你的实体类中加入俩个字段,一个是列,一个是参数 ORDER BY <choose> <when test="financingDemand.columnName!=null and financingDemand.columnName!=''"> ${financingDemand.columnName ----必须...
mybatis#{}与${}区别总结
d_xiaoliu的博客
10-10 925
一、总结:      #{ }:占位符,防止sql注入      ${ }:sql拼接符号 二、分析:     动态sql是mybatis的强大的特性之一。mybatis在对sql语句进行预编译之前会对sql进行动态解析,解析为一个BoundSql对象,也是在此处对动态SQL进行处理。     在动态SQL解析中,#{ }和${ }不同:     #{ }解析为JDBC预编译语
Mybatis之#{}和${}的区别及其实现方式
旅行才是人生追寻
02-27 7002
简单的说#{}和${}的区别:$是String 拼接插入的#则是占位符来做处理的,写法比如字符串类型,$需要自己添加''#就不需要添加,对于日志的差别就是$会打印在日志里面,#则显示?         大多数我们都是用#{} 因为可以防止sql注入,但是有时候${}还是很必要的,比如传入tableName,或者fieldName比如Order By id||time 就需要${}传入 #{}就无
MyBatis(七)——#和$的区别
云中、漫步的博客
05-04 285
文章目录一、# 占位符1、使用2、#特点:二、$ 占位符1、使用2、$特点3、$的正确使用场景(表名和列名)三、区别总结四、使用#或者说PrepareStatement如何防止SQL攻击? 一、# 占位符 1、使用 语法: #{字符} 使用方式如下: <select id="selectById" parameterType="integer" resultType="com.bjpowernode.domain.Student"> select id,nam
MyBatis——谈谈占位符(#、$)的理解与使用
热门推荐
胜天半子祁同伟
03-02 2万+
MyBatis——谈谈占位符(#、$)的理解与使用
浅谈mybatis中的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis中的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
主要介绍了Mybatis中#{}和${}传参的区别及#和$的区别小结 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
406_智能小区管家服务系统的设计与实现-源码.zip
06-02
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
毕业设计+项目编程实战+基于BS架构的ASP.NET的新闻管理系统(含程序源代码+毕业设计文档)
06-02
前言……………………………………………………………………………….2 第1章 ASP简介…………………………………………………………….…..1 1.1ASP的特点………………………………………………………….1 1.2ASP的优势………………………………………………………….2 1.3 ASP与HTML……………………………………………………….3 1.4 ASP的内置对象……………………………………………………..4 1.4.1 Request对象………………………………………………….4 1.4.2 Response对象………………………………………………..4 第2章 为什么要开发一个新闻发布系统…………………………………………….6 第3章 Access数据库……………………………………………………………8 3.1 数据库概念………………………………………………………….8 3.2 Access数据库特点………………………………………………….8 3.3
prompt_toolkit-3.0.27.tar.gz
最新发布
06-02
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
庆祝传统节日,端午安康
06-02
端午节,又称为端阳节、龙舟节,是中国传统节日之一,始于战国时期,至今已有上千年的历史。每年农历五月初五这一天,人们都会举行各种庆祝活动,以祈求平安健康、驱邪避灾。
266_基于微信小程序的在线诗歌赏析系统的设计与实现-源码.zip
06-02
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
2021年蓝桥杯国赛比赛(stema部分)试题.zip
06-02
蓝桥杯国赛2021年蓝桥杯国赛比赛(stema部分)试题.zip
Mybatis模糊查询用#和$什么区别
03-28
Mybatis模糊查询可以使用LIKE关键字来实现。在SQL语句中使用LIKE关键字可以做到模糊匹配,比如在查询名字中包含“张”的用户时,可以使用如下语句: SELECT * FROM users WHERE name LIKE '%张%' 其中%表示通配符...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值