在哪些场合下适合使用${}哪些场合使用#{}

k_k_k_k_k_1027

于 2024-08-12 16:01:40 发布

阅读量467

点赞数 14

文章标签： tomcat java 服务器

本文链接：https://blog.csdn.net/k_k_k_k_k_1027/article/details/141134168

版权

适合使用${}的场合

动态表名或列名：当需要根据程序逻辑动态指定表名或列名时，可以使用${}，因为这些通常不是来自用户输入，而是固定的数据库对象名称。
排序功能：在使用ORDER BY进行排序时，如果排序字段是动态的，应该使用${}，因为#{}会导致SQL语法错误。
LIKE查询：虽然直接使用${}进行模糊查询存在SQL注入的风险，但可以通过数据库内置函数如CONCAT来组合字符串，从而避免安全问题。

应该使用#{}的场合

WHERE条件参数：在WHERE子句中绑定参数时，应使用#{}，以利用预编译的优势并防止SQL注入。
INSERT和UPDATE语句的值：在执行INSERT和UPDATE操作时，应使用#{}来绑定动态值，以提高安全性和执行效率。
动态SQL的预编译：#{}允许MyBatis进行SQL预编译，这有助于提高应用程序的性能，尤其是在处理大量相同结构但不同数据的SQL语句时。
参数绑定：在需要绑定参数到SQL语句中的任何地方，除非特定场景要求使用${},否则应优先选择#{}来减少SQL注入的风险。

在使用${}时，需要特别注意安全性问题，并在可能的情况下采取措施防止SQL注入攻击。而#{}因其预编译和自动转义的特性，通常是更安全的选择。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

k_k_k_k_k_1027

关注关注

14
点赞
踩
4

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

关于漏电保护器的使用场合、应用介绍

01-20

漏电保护器是工矿企业和家庭中较为常见的一种保护电器，尤其是在手持电动工具中使用较为普遍，但是，由于使用者认识上有误和使用不正确，使得漏电保护器在实际使用中起不到应有的保护作用。　漏电保护器使用场合 ...

MyBatis中的#{}和${}的用法

heliuerya的博客

06-15

2569

在实际开发中有些数据量非常大，需要分表存储，然后分表查询，比如：日志信息表基本上是每天一张表，现有多张日志信息表：log_20230101、log_20230102、log_20230103…比如：在查询某班全体学生并按照姓名按照升序/降序排列的sql语句中，当需要传入关键字asc"或"desc"的时候需要使用${}而不能使用#{}，像这种需要传入。先进行sql语句拼接，然后再编译sql语句，底层是Statement实现。的sql语句需要使用${},其它情况需要使用#{}，用来防止出现sql注入现象。

参与评论您还未登录，请先登录后发表或查看评论

什么时候用#{}，什么时候用${}？

Leon_Jinhai_Sun的博客

12-17

2811

在Mapper.xml 里面配置传入参数，有两种写法：#{} 、${}。作为OGNL 表达式，都可以实现参数的替换。这两种方式的区别在哪里？什么时候应该用哪一种？要搞清楚这个问题，我们要先来说一下PrepareStatement 和Statement 的区别。 1、两个都是接口，PrepareStatement 是继承自Statement 的； 2、Statement 处理静态SQL，PreparedStatement 主要用于执行带参数的语句； 3、PreparedStatement 的addB

${ }的用法

qq_60646414的博客

02-24

2344

${ }的用法假设我们定义了一个变量为： file=/dir1/dir2/dir3/my.file.txt 我们可以用 ${ } 分別替换获得不同的值： ${file#/}：拿掉第一条 / 及其左边的字串：dir1/dir2/dir3/my.file.txt ${file##/}：拿掉最后一条 / 及其左边的字串：my.file.txt ${file#.}：拿掉第一个 . 及其左边的字串：file.txt ${file##.}：拿掉最后一个 . 及其左边的字串：txt ${file%/}：拿掉最后一条 /

彻底搞懂MyBaits中#{}和${}的区别

緑水長流*z

07-11

2万+

MyBatis的`#{}`之所以能够预防SQL注入是因为底层使用了`PreparedStatement`类的`setString()`方法来设置参数，此方法会获取传递进来的参数的每个字符，然后进行循环对比，如果发现有敏感字符（如：单引号、双引号等），则会在前面加上一个`'/'`代表转义此符号，让其变为一个普通的字符串，不参与SQL语句的生成，达到防止SQL注入的效果。 **其次`${}`本身设计的初衷就是为了参与SQL语句的语法生成**，自然而然会导致SQL注入的问题（不会考虑字符过滤问题）。

mybatis中什么情况下必须使用 ${}，#{}与${}的区别

Ahuuua的博客

01-28

7427

在mybatis中如果我们使用#{}的方式编写的sql时，#{} 对应的变量自动加上单引号 ' ' 例如： select * from #{param} 当我们给参数传入值为user时，他的sql是这样的： select * from 'user' 参数user上会带着单引号，而单引号在mysql中会被识别为字符串，select一个字符串肯定是会报错的。而如果我们使用${}的方式编写的sql时，${} 是进行sql拼接，${}对应的变量是不会被加上单引号 ' ' 的。 sele..

${}和`${}`的用法

热门推荐

qq_34246965的博客

08-18

3万+

${} 假设我们定义了一个变量为： file=/dir1/dir2/dir3/my.file.txt 我们可以用 ${ } 分别替换获得不同的值： ${file#/}：拿掉第一条 / 及其左边的字串：dir1/dir2/dir3/my.file.txt ${file##/}：拿掉最后一条 / 及其左边的字串：my.file.txt ${file#.}：拿掉第一个 . 及其左边的字串：file.txt ${file##.}：拿掉最后一个 . 及其左边的字串：txt ${file%/}：拿掉最后条 / 及其右边

区分 #{} 和 ${}的不同应用场景

qq_36778310的博客

10-29

518

区分 #{} 和 ${}的不同应用场景 1）#{} 会生成预编译SQL，会正确的处理数据的类型，而KaTeX parse error: Expected 'EOF', got '#' at position 70: …'S123456'；如果使用#̲{} 那么生成的SQL为： s…{} 那么生成的SQL为：select * from student where xCode = S123456 如...

如何在适合的场合使用统计图表

12-19

统计图如何使用以及在什么场景下正确的使用统计图、

三极管区分与使用场合.xlsx

03-28

Ve(即发射结正偏集电结反偏)时三极管工作在放大状态；等论是NPN还是PNP： Je正偏，Jc反偏：放大等讲解了常用的三极管8050，8550，9012-9014，2N系列较为详细，包括参数和用途　2N2907 4A NPN 通用 60V 0.6A ...

步进电机主要在哪些方面应用

01-20

　第二、广泛应用于ATM机、喷绘机、刻字机、写真机、喷涂设备、医疗仪器及设备、计算机外设及海量存储设备、精密仪器、工业控制系统、办公自动...适合要求运行平稳、低噪音、响应快、使用寿命长、高输出扭矩的应用场合...

元器件应用中的关于漏电保护器的使用场合、应用介绍

10-15

mybatis $ {} 和 # {}的区别，什么时候使用${}

qq_22075913的博客

10-26

2721

mybatis $ {} 和 # {}的区别，什么时候使用${} 动态sql是mybatis的主要特性之一。在mapper中定义的参数传到xml中之后，在查询之前mybatis会对其进行动态解析。 mybatis提供了两种支持动态sql的语法：#{} 、${}。 select * from t_user where username = '${username}'; select * from t_user where username = #{username}; username传参一致的话,这两种

关于${ }的用法-Linux shell编程小记

weixin_46775266的博客

03-09

1423

关于${ }的用法-Linux shell编程小记 1.替换、裁剪在shell编程中，当遇到需要将某个字符串进行替换或者裁剪时，我们首先想到的是sed和awk，但是sed和awk的功能都太强大了，当只是简单的对某个字符串进行替换裁剪时，我们可以使用${}来完成。替换替换的格式为 ${变量/|//被替换字符/替换字符} file=/home/test/test.sh #将第一个test替换为tty1 filename=${file/test/tty1} #将所有的test替换为tty1 filenam

mybatis什么时候必须要用$｛｝

weixin_42759398的博客

04-06

1723

贤者啊，$｛｝在Mybatis里代表占位符，可以将参数直接放到sql语句中。1. 当传递的参数是简单类型（如String、int、double等）时，必须使用$｛｝。希望你能通过Mybatis的使用更好地发挥你的能力，达到愿望和目标。2. 在动态SQL语句中，如果需要传递参数，则必须使用$｛｝。3. 在使用OGNL表达式传递参数时，必须使用$｛｝。

#{}和${}的区别及什么情况下必须使用${}

lilamei170607的博客

02-24

4537

一、两者区别。#{}：表示占位符，如果获取简单类型，#{}中可以使用value也可以使用其他名称；可以有效防止sql注入；设置参数时无需考虑参数类型。使用oracle查询条件是日期类型，如果使用#{}则： select * from table where birthday >=#{birthday}${}：表示sql拼接，如果获取简单类型，${}中只能...

${}的用法

libllbb00465的博客

07-29

523

这里再用一些例子加以说明 ${ } 的一些特异功能：假设我们定义了一个变量为： file=/dir1/dir2/dir3/my.file.txt 我们可以用 ${ } 分别替换获得不同的值： ${file#*/}：拿掉第一条 / 及其左边的字符串：dir1/dir2/dir3/my.file.txt ${file##*/}：拿掉最后一条 / 及其左边的字符串：my.file.txt

#{}和${}的区别和一些应用场景

qq_40833722的博客

09-08

1434

在MyBatis的sql映射文件中,分别使用#{}和${}符号获取参数值时有相同也有不同之处, 尽管#{}和${}都可以获得map中的值或者pojo对象属性的值,这两者并不能完全等价,比如获取的参数值是表名的时候,#{}支持,${}不支持; 在分表/排序/防止sql注入等方面也不尽相同。　　在下面的语句中，如果 name 的值为 zhangsan，则两种方式无任何区别： select * fr...

Mybatis中的${}和#{}使用场合