Mybatis中#{}和${}区别

最新推荐文章于 2024-07-19 12:37:36 发布
最新推荐文章于 2024-07-19 12:37:36 发布
阅读量278 收藏
点赞数
分类专栏: java web Mybaties 文章标签: mybatis sql 参数 #
  1. $符是直接拼成sql的 ,#符则会以字符串的形式 与sql进行拼接。#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”.
  2. sqlorderby user_id$,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sql为order by id.
  3. #方式能够很大程度防止sql注入。 
  4. $方式无法防止Sql注入。
  5. $方式一般用于传入数据库对象,例如传入表名. 
  6. 一般能用#的就别用 .MyBatis使orderby 而不是#
    字符串替换
    默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用:
    ORDER BY ${columnName}
    这里MyBatis不会修改或转义字符串。
    重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。

例子:当进行根据日期查询时,前台传入日期格式为:“YYYY-MM-DD”,如start=“2017-08-01”,end=“2017-08-01”,后台日期部分sql编写如下:

<if test="pd.start!=null and pd.start!=''"> 
                and "CREATETIME" &gt;=to_date(#{pd.start},'yyyy-mm-dd hh24:mi:ss')
            </if>
            <if test="pd.end!=null and pd.end!=''">
                and "CREATETIME" &lt;=to_date('${pd.end} 23:59:59','yyyy-mm-dd hh24:mi:ss')
            </if>

这样就可以查到“2017-08-01”当天的信息.

-bin_bin-
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MyBatis #{} 和 ${} 的区别看完这篇文章一目了然
Fug_Lee的博客
09-23 1837
MyBatis #{} 和 ${} 的区别看完这篇文章一目了然
spring项目sql语句:#{}与¥{}的使用
m0_46043168的博客
10-07 1271
首先要了解两者区别: select * from user where name = #{name}被解析为select * from user where name = ? 可以看到#{}是作为一个参数占位符被使用。 而¥{}则是直接字符拼接: select * from user where name = ${name}; 当我们传递参数“sprite”时,sql解析为:select * from user where name = "sprite"; 下面有两个实例:
linux下${}、$()、$[]、$(())、[]、[[]]、(())的作用及用法说明
z19861216的博客
07-26 6577
linux下${}、$()、$[]、$(())、[]、[[]]、(())的作用及用法说明
${ }的用法
qq_60646414的博客
02-24 2294
${ }的用法 假设我们定义了一个变量为: file=/dir1/dir2/dir3/my.file.txt 我们可以用 ${ } 分別替换获得不同的值: ${file#/}:拿掉第一条 / 及其左边的字串:dir1/dir2/dir3/my.file.txt ${file##/}:拿掉最后一条 / 及其左边的字串:my.file.txt ${file#.}:拿掉第一个 . 及其左边的字串:file.txt ${file##.}:拿掉最后一个 . 及其左边的字串:txt ${file%/}:拿掉最后一条 /
$(BIN): $(OBJ) $(CPP) $(LINKOBJ) -o $(BIN) $(LIBS)报错问题的解决
热门推荐
行码棋
04-29 1万+
最近在做c++类与对象作业的时候一直出现了这个错误,找了好长时间,终于解决了。 当时就是要实现一个大整数类,要求实现与接口分离。但是就是一直报这个错。 截图如下: $(BIN): $(OBJ) $(CPP) $(LINKOBJ) -o $(BIN) $(LIBS) 一直报这个错,说这个地方有错,找网上以为是编译器的错误,但我错了,最后发现是我很小的一个地方出错了。 我的解决方法:(错误真愚蠢) 在实现实现与接口分离时,头文件的包含是有要求的。 在main.cpp文件只要包含相应的类文件就行(.h后缀文件
Mybatis#{}和${}的区别
weixin_45370608的博客
06-04 221
Mybatis#{}和${} 1、#{}将传入的数据都当成一个字符串对自动传入的数据加一个引号(单引号?双引号?加了引号就对了)如: //传入的值是sex order by #{column} 解析后为 order by “sex” //将出错 2、${}将传入的数据直接显示生成在sql,如: //传入的值是sex order by ${column} 解析后为 order by sex //正确的 3、#{}可以在很大程度上防止sql注入,${}无法防止sql注入 4、${}一般用于传入
Mybatis${}和#{}的区别
founder_forever的博客
03-13 838
${}和#{}的作用 Mybatis在项目起到的是项目和数据库的交互以及sql语句的管理,sql语句的集管理,方便开发人员对sql语句的复用和管理,但是既然需要复用,就表明sql语句本身是进过抽象的,抽象的目标就是参数,在不同的用途就需要传入不同的参数${}和#{}就是用来向已经定义好的sql语句传入参数的。 ${}和#{}的区别 #{} 这种取值是变异号sql语句之后再取...
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
SQL#和$的区别以及使用它们造成的问题
qq_37511997的博客
05-17 2250
不同点 ●使用#获取传入的数据在数据上加上引号。比如 where userId = #{userId },如果userId传入的值为1,那最终的sql就是 where userId = “1”; ●使用$获取传入的数据不对数据做任何改变,比如 where userId = #{userId },如果userId传入的值为1,那最终的sql就是 where userId = 1; ● #能够一定程度上防止SQL注入 ● $无法防止SQL注入 ● $一般用于传入数据库对象,例如传入表名。(仍存在S
sql语句的#{}占位符和${}占位符
JavaClub
06-09 8952
#方式能够很大程度防止sql注入;$方式无法防止Sql注入
mybatis的两种传参方式#{}和¥{}原理
laughitover
08-28 5458
之前没注意,最近公司测试提了个bug, 问题:输入框输入单引号报错, 原因:单引号截断了sql 总结:#{}速度快,能防止sql注入,是占位符方式,先预编译,然后填充参数字符串格式,相当于填空题 用户名=(___),参数只是下划线上的内容           ${}是直接拼接到语句上,执行语句,对于上面那道填空题 ,这种方式需要自己拼括号和参数,但是也可以拼接想执行的任何语句,也就是
mybatis # 号和 $ 符的区别
Do Re Mi 的博客
11-22 2075
mybatis#号和$符的区别? 区别 1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'. 使用#可以很大程度上防止sql注入。(语句的拼接) , 为什么#可以防止sql注...
MybatisBind的用法
Top5软件工程硕士,先后在京东、字节从事多年Java后端开发、实时和离线大数据开发
02-26 1万+
&lt;sql id="columnSql"&gt; &lt;trim suffixOverrides=","&gt; &lt;!-- suffixOverrides此时的作用是去除最后一个逗号 --&gt; id, username, password, sex, &lt;/trim&gt; &lt;/sql&gt; &lt;select id="f
PostgreSQL异常:An I/O error occurred while sending to the backend
最新发布
IT后浪的博客
07-19 447
在使用PostgreSQL数据库批量写入数据的时候,遇到了一个问题,异常内容如下:Cause: org.postgresql.util.PSQLException: An I/O error occurred while sending to the backend.
mybatis#和$的区别
06-07
MyBatis,#和$都是用于替换SQL语句的占位符的符号,但它们的处理方式不同。 #号表示占位符,通过预编译的方式将传入的参数进行安全的替换,防止SQL注入攻击,同时将参数值转换为对应的JDBC类型。例如: ``...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值