Java的Mybatis框架中#{}与${}使用心得

于 2024-06-13 13:45:09 发布
阅读量1k 收藏 22
点赞数 15
分类专栏: Java_Mybatis 文章标签: java mybatis 开发语言 sql 后端
懒羊羊
本文链接:https://blog.csdn.net/kangqiao0422/article/details/139652043
版权

Java的Mybatis框架中#{}与${}使用心得
在这里插入图片描述

在MyBatis框架中,#{}和${}都是用来动态地向SQL语句中插入值的,但它们的处理方式和用途有所不同

#{}

安全:#{}是预编译处理,能够有效防止SQL注入。它会将参数看作一个占位符,在SQL执行前,MyBatis会使用PreparedStatement参数化的方式处理这些值,即将参数替换为问号(?),然后由数据库驱动程序负责处理参数化的过程。
这样可以确保传入的参数被正确转义,避免SQL注入的风险。

用法示例:在映射文件中,如果你看到如:

SELECT * FROM table WHERE id = #{id}

这样的语句,这里的#{id}会被实际传入的id值安全地替换。

${}

不安全:${}不会进行预编译处理,而是直接进行字符串替换。这意味着传入的参数将会原样拼接到SQL语句中,如果参数中含有恶意代码,可能会导致SQL注入攻击。

用途:尽管因为安全性问题不推荐用于包含用户输入的参数,但它在某些特定场景下非常有用,比如动态表名、列名或者SQL片段等,这些内容不是用户提供的,而是程序内部确定的,使用因为安全性问题不推荐用于包含用户输入的参数,但它在某些特定场景下非常有用,比如动态表名、列名或者SQL片段等,这些内容不是用户提供的,而是程序内部确定的,使用{}可以直接拼接SQL。

用法示例:若需要根据某个条件动态生成表名,可能会这样写
SELECT * FROM t a b l e N a m e W H E R E . . . ,这里 {tableName} WHERE ...,这里 tableNameWHERE...,这里{tableName}会被其对应的变量值直接替换到SQL中。

总结

通常情况下,当你需要传递参数到SQL查询中时,推荐使用#{}来防止SQL注入,保护应用的安全性。
如果你需要拼接SQL片段或者动态生成SQL结构部分(而非查询条件),可以使用${},但需谨慎使用,确保不会引入安全风险。

了解更多知识请戳下:

@Author:懒羊羊

会撸代码的懒羊羊
关注
  • 15
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JAVAspring介绍以及个人使用心得
03-21
Spring是一个轻量级的开源Java框架,它简化了企业级应用程序的开发。Spring框架提供了一系列的工具和库,可以帮助开发人员构建各种类型的应用程序,包括Web应用程序、企业应用程序和移动应用程序。 Spring框架的...
MyBatis基本使用总结
02-24
MyBatis是一个优秀的Java持久层框架,它支持定制化SQL、存储过程以及高级映射。在使用MyBatis时,我们需要理解其核心组件和工作原理,以便更好地进行数据库操作。 一、MyBatis核心配置文件 MyBatis的核心配置文件...
Linux 变量操作符“${}“
Elite的博客
04-17 3726
"${}"是对变量进行处理的一个函数,它可以对变量值进行取长度,截取,替换等操作,也可用于RCE漏洞拼接绕过
${}是啥意思
qq_53598683的博客
05-23 2615
{}是JavaScript的模板字符串语法,用于在字符串插入动态的变量或表达式。该语法可以包含任何JavaScript表达式,并将其结果插入到字符串。{name}表示将name变量的值插入到字符串${age}则表示将age变量的值插入到字符串。在这个代码,我们定义了一个名为formatPrice的函数,用于将价格格式化为货币字符串。语法将函数调用插入到字符串,以显示格式化后的价格。的模板字符串语法,用于在字符串插入动态的变量或表达式。,并将其结果插入到字符串
`${}`的用法
爬楼梯的前端小白的博客
06-28 1364
用法 step1: 定义需要拼接进去的字符串变量 step2: 将字符串变量用${}包起来,再写到需要拼接的地方 参考地址:
vue语法 `${ }` (模版字符串)
sinat_34241861的博客
02-10 2624
原文地址 const name = '小缘' const age = 14 console.info(`大家好,我叫${name},今年${age}岁了`) // 等价于 console.info('大家好,我叫' + name + ',今年' + age + '岁了') // 最大的优势是支持换行字符串 const url = '//baidu.com' const text = '百度一下...
ssh框架总结_ ssm心得体会-Java文档类资源
06-28
SSH框架Java开发常用的三大框架整合,包括Spring、Struts和Hibernate。这些框架的结合为开发者提供了便捷的MVC(Model-View-Controller)架构支持,极大地提高了开发效率和代码质量。 **Spring框架** 是核心,...
Java EE电商项目(使用SSM框架).zip
最新发布
12-29
SSM(Spring + Spring MVC + MyBatis框架作为Java开发的黄金组合,为开发者提供了强大的技术支持和丰富的功能。本系列资料将带您从零基础开始,逐步掌握SSM的核心技术和最佳实践,助您在Java Web开发领域更上一...
基于Java的SSM框架的学生宿舍管理系统.rar
03-28
《基于Java的SSM框架的学生宿舍管理系统》是一个典型的Web应用程序,采用了Spring、SpringMVC和Mybatis三大核心框架,旨在实现高效、稳定的宿舍管理。这个系统涵盖了从需求分析到项目实施的全过程,提供了完整的源...
js语法 `${ }` (模版字符串)
热门推荐
weixin_42776027的博客
09-23 4万+
摘自:https://segmentfault.com/q/1010000008876108/a-1020000008876319 const name = '小缘' const age = 14 console.info(`大家好,我叫${name},今年${age}岁了`) // 等价于 console.info('大家好,我叫' + name + ',今年' + age + '岁了')...
JS${}‘什么意思
liu511623的博客
03-15 6908
在上面的例子${name}将变量name的值插入到了字符串。这比使用字符串连接符(+)更方便,尤其是当需要插入多个变量或表达式时。模板文字是一种允许您插入变量、表达式、函数调用等内容到字符串的方法,使用。{}将这些内容包裹起来,使其成为字符串的一部分。在JavaScript
${}语法
前端-黎姿
03-22 2万+
${ }是es6新增的字符串方法 可以配合单反引号完成字符串拼接的功能 为什么要用模板字符串 在ES2015之前,如果在字符串插入一个JavaScript表达式,需要使用如下形式: let job=“web前端开发工程师”; let str1=“我是”+job+",工作5年了"; 上面代码将变量job插入到字符串,需要使用+进行字符串连接。 如果插入的数量较多,或者说较为复杂的操作...
${}和`${}`的用法
qq_34246965的博客
08-18 3万+
${} 假设我们定义了一个变量为: file=/dir1/dir2/dir3/my.file.txt 我们可以用 ${ } 分别替换获得不同的值: ${file#/}:拿掉第一条 / 及其左边的字串:dir1/dir2/dir3/my.file.txt ${file##/}:拿掉最后一条 / 及其左边的字串:my.file.txt ${file#.}:拿掉第一个 . 及其左边的字串:file.txt ${file##.}:拿掉最后一个 . 及其左边的字串:txt ${file%/}:拿掉最后条 / 及其右边
shell语法之${},``,$(),$(()) - - 用法
szb521的博客
07-12 1224
shell语法
java $_java 字符串参数化符号${}的解析
weixin_33821493的博客
02-12 1396
我们在很多地方都能看到代表参数意义的符号${},可能我们在写一些框架的时候,有时候也需要用到这个符号,但他们是如何精确解析的?或者说需要我们自已写的时候,如何写?我们先来看以下的几个场景:1.字符串"a${a}a"2.字符串"a\${a}a"3.字符串"a${a\}a"4.字符串"a${a\}a}a"5.字符串"a${a}a${"6.字符串"a${a}a${a}"以上几个字符串,基本上包括了使用...
占位符:#{}和$
骑大马挎大刀
11-09 955
#{}特点: 1.使用的JDBC的PrepareStatement对象,执行sql语句编译一次,效率高. 2.使用的JDBC的PrepareStatement对象,能便面sql注入,sql语句执行更安全. 3.#{}常常作为列值使用的,位于等号的右侧,#{}位置的值和数据类型有关,如果#{}的参数是String,那么调用的其实是PrepareStatement的setString()方法,并且给值加上引号. ${}特点: 1.${}在语法上和#{}几乎是一样的.(现在知道的,区别是在dao接口传一个简单
shell语法之${},``,$(),$(())四种语法含义
zhangxiping
09-03 1万+
##1.${ } 变量、截取、替换 1.获取变量值 ${}获取变量的值,下面例子,定义了变量a,值test [root@zxp1 /opt/script]# a=test [root@zxp1 /opt/script]# echo $a //可以省略{} test [root@zxp1 /opt/script]# echo ${a} test [root@zxp1 /opt/script...
基于java学习交流平台设计与实现.docx
08-21
SSM框架Java Web开发的常用技术栈,它整合了Spring的依赖注入、SpringMVC的前端控制器和MyBatis的持久层框架,能够高效地处理数据访问和业务逻辑。通过SSM框架,开发者可以更专注于业务逻辑的实现,提高开发效率...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

会撸代码的懒羊羊

打赏5元,买杯咖啡醒,继续创作

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值