mybatis中的#号和$号的区别

最新推荐文章于 2024-08-02 16:18:07 发布
最新推荐文章于 2024-08-02 16:18:07 发布
阅读量7.2k 收藏 26
点赞数 3
分类专栏: mybatis 文章标签: mybatis sql #和的区别
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leo_ace/article/details/72824962
版权

之前做项目时,由于自己对之前学过的,用过的知识都没有去总结,时间一久,就会忘记,而当出现问题时,往往需要很长时间才能找到问题原因,从而浪费了大量时间在定位上,言归正传,现在说说之前遇到的一个问题。

使用mybatis时动态传参,我们都知道使用#{},这也是绝大多数场景用到的,

而有一次,我需要在后台拼接查询参数,放入in中,我拼接的参数格式为‘p001','p002','p003'这样的,in条件的写法in (#{product})

结果就是查询不到数据,但是把sql和参数拿到plsql中却完全没问题,当时脑子短路,一直没想到问题的原因在哪,白白牺牲了将近一下午时间。

后来突然想到$符号,后来将$符号代替#号就OK了。


问题原因:

#{} 默认会用引号将参数引起来

${} 单纯替代。

之前的写法,select * from product_tree_v pv where pv.product_code in(#{product})

预编译出来的结果:select * from product_tree_v pv where pv.product_code in ?;

#{}被当作一个占位符了,而参数前后也会被加上引号。

运行时的sql是:select * from product_tree_v pv where pv.product_code in('‘p001','p002','p003'');

所以无论如何都是查不到数据的。

换成${}:select * from product_tree_v pv where pv.product_code in($product});

预编译出来的结果 :select * from product_tree_v pv where pv.product_code in (‘p001','p002','p003');

这样就是纯粹的将参数传进去,没有做任何的转义操作。这才是我们真正想要的。


总结:

mybatis作为ORM框架,从性能,系统维护性,实用性上来说,都是非常优秀的,

其所有的sql在执行前都会通过数据库驱动进行预编译,这样DBMS就可以不用编译直接接收参数运行,

而#和$号的区别在预编译后就能看出来了,#{}预编译完是占位符?,而${}预编译完就是传进来的参数。


#{}的优点:

  使用#{}可以预防sql攻击,而${}却不能

例如 select * from ${tablename}   如果传入的是 product; drop product;

那么你的表数据就会被无声无息的干掉了。

使用${}的场景:

1 作为in条件时,

        2 参数为int类型并且数据库中字段的类型是number,

        3 表名

        4 order by ${},排序字段


--------ps---------

<![CDATA[]]>的用法,在该符号内的语句,将不会被当成字符串来处理,而是直接当成sql语句,比如有大于,小于号,要执行一个存储过程

都需要加上这个。


leo_ace
关注
专栏目录
mybatis的#和$使用和区别
学无止境
02-27 865
mybatis的#和$使用和区别
Mybatis的$和#的区别
青衣醉酒
10-27 640
1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'. 2 $是将传入的数据直接显示生成sql语句,eg:select id,name,age from student wher...
MyBatis#{}和${}的区别详解
weixin_30275415的博客
07-18 154
首先看一下下面两个sql语句的区别: <select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap"> select id, username, password, role from user where username = #{username,j...
Mybatis实战:#{} 和 ${}的使用区别和数据库连接池
最新发布
LHY537200的博客
08-02 1529
{} 和 ${}#{} 和 ${} 在MyBatis框架都是用于SQL语句参数替换的标记,但它们在使用方式和处理参数值上存在一些显著的区别。特点1.1Interger类型的参数1.先看Interger类型的参数2.观察日志3.查看日志的输出语句我们输⼊的参数并没有在后⾯拼接,id的值是使⽤?进⾏占位. 这种SQL 我们称之为"预编译SQL"。4.我们把#{}改成${}5.再次查看输出日志信息可以看到, 这次的参数是直接拼接在SQL语句了。
mybatis#{}和${}的区别
Lyuuku爱吃苹果
02-11 516
1. 概念 #{}和${}都可以传输数据,两者的差异是编译的时期不一样 #{}是一次编译,后续每次调用只是传递一个参数进去${}是每次都会编译,传递进去的数据会当做sql语句一起编译 2. sql语句的编译 sql语句编译有两种形式,即statement和PrepareStatement两种 2.1 Statement statement每次执行语句都要重新编译一次
Mybatis#{}和${}的区别
洋成林
05-12 4078
1、生成执行sql以及sql安全方面: (1)使用#{}格式的语法,在mybatis会使用Preparement语句来安全地设置值,跟踪断点会看到即将执行的sql用“?”做占位符,执行sql类似于   PreparedStatement ps = conn.prepareStatement(sql); ps.setInt(1,id);   同时,#{}写法会将传入的数据都当成一个字...
MyBatis #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1275
1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
Mybatis的#和$的区别
热门推荐
qq_27811247的博客
06-22 4万+
在学校的时候,想必大家肯定听老师讲过,在mybatis,配置参数要用#,不要用$符。因为$不安全,容易被sql注入。讲是这么讲,但是如何注入的,大家一起来看看吧。 一:下面我们写个关于“#”的个sql,看能不能注入。 <select id="selectUser" resultMap="BaseResultMap"> SELECT ...
MyBatis#和$区别
你只管努力,
11-25 271
1.#是占位符。 $是用来拼接字符,虽然也是占位但是做不了字符的转换。#自动转换 日常报标识符无效的异常 2.#直接获取属性名称 $首先去获取properties文件的属性名称,没有的话再去对象或者参数找。 3.#占位符 $拼接字符串,容易出现SQL注入。 为什么要引入$符? 因为当数据库非常大的时候需要进行分库和分表, 数据量大的时候#无法处理 这时候就需要$来处理了。传...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
MyBatis#与美元符区别
08-31
MyBatis框架,#和美元符($)在动态SQL的使用有着显著的区别,这些差异直接影响到SQL语句的预编译、类型匹配以及安全性。 首先,#{}是MyBatis的预编译占位符。当使用#{变量名}时,MyBatis会进行预编译处理...
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
详解mybatis #{}和${}的区别、传参、基本语法
08-18
MyBatis#{}和${}的区别、传参、基本语法 MyBatis是一个基于Java的持久层框架,它提供了一个强大的SQL映射机制,能够将Java对象与数据库表之间建立映射关系。在MyBatis,#{}和${}是两个非常重要的符,它们用于...
mybatis#{}与${}的区别
javaee9527的博客
12-10 2196
#{} : 可以防止sql注入, sql语句在编译的过程,会把值转换成?占位符, 在最终编译的时候,会对值进行转义,添加””, 当传入的值为简单数据类型的时候, 括内部可以随便写 #{}   ${} : 不能防止sql注入, 不会对传入的值进行转义的操作, 直接完成sql语句的拼接, 当传入的值为简单数据类型的时候, 括内部必须写value ${value} Ps: 当执行排序的
Mybatis的$和#
sillyyyy的博客
05-08 2650
SQL语句执行时,Mybatis会将$占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用$占位符可以在某些情况下提高SQL语句的性能,因为在预编译时不需要处理参数占位符。#用于预编译,表示参数占位符,例如:#{username}。在SQL语句执行时,Mybatis会将占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用#占位符可以有效地防止SQL注入攻击,因为Mybatis会将参数值转义后再替换占位符。使用哪种占位符取决于具体的需求,如果需要防止SQL注入攻击,则应该使用#占位符;
mybatis#{}和${}的区别详解
小盒子的博客
05-11 2768
一:在mybatis最主要的一个特性就是动态sql:         1、  程序员通过直接编写SQL语句,可以直接对SQL进行性能的优化;         2、  学习门槛低,学习成本低。只要有SQL基础,就可以学习mybatis,而且很容易上手;         3、  由于直接编写SQL语句,所以灵活多变,代码维护性更好。         4、  不能支持数据库无关性,即数据库
MyBatis#{ }和${ }的区别
柴狗狗的小号的博客
07-07 7930
MyBatis#{ }和${ }都可以用来动态传递参数,补全SQL语句,但它们区别也很明显。 (1)#{"参数名"}在SQL相当于一个参数占位符“?”,用来补全预编译语句。它补全预编译语句时,可以理解为在此参数值两端加了单引。举例如下,当需要动态的按id查询用户信息时。 select * from my_user where id = #{id}; 如果我们为id赋值为...
Mybatis#和$的区别
伏颜的博客
07-11 1万+
Mybatis#和$的区别
mybatis#和$的区别
06-07
MyBatis,#和$都是用于替换SQL语句的占位符的符,但它们的处理方式不同。 #表示占位符,通过预编译的方式将传入的参数值进行安全的替换,防止SQL注入攻击,同时将参数值转换为对应的JDBC类型。例如: ``` SELECT * FROM user WHERE id = #{userId} ``` 在执行SQL时,#{userId}会被替换为一个?占位符,同时userId参数的值会被预编译并设置为PreparedStatement的参数值。 $则表示直接替换,将SQL语句的占位符替换为传入的参数值,并不进行预编译和JDBC类型转换。例如: ``` SELECT * FROM user WHERE id = ${userId} ``` 在执行SQL时,${userId}会被替换为实际的参数值,不会进行预编译和JDBC类型转换,如果参数值存在SQL注入攻击的风险,就会导致SQL注入攻击。 因此,一般情况下我们建议使用#进行参数替换,以保证SQL语句的安全性。但如果需要动态拼接SQL语句,或者需要使用一些特殊的SQL语法,可以使用$进行参数替换。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值