MyBatis中 # 和 $ 的具体使用说明

最新推荐文章于 2024-04-25 15:41:10 发布
最新推荐文章于 2024-04-25 15:41:10 发布
阅读量1.2k 收藏 4
点赞数
分类专栏: Mybatis 文章标签: mybatis java mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46628950/article/details/125971146
版权

目录

#和$有什么不同?

# 是一个占位符,$ 是一个拼接符

# 如何防止sql注入问题

什么时候使用${ }

#和$有什么不同?

  • # 是一个占位符,$ 是一个拼接符
  • # 可以防止sql注入问题

# 是一个占位符,$ 是一个拼接符

# 是先预编译后取值(使用 ?占位)

$ 是先取值后预编译(字符串拼接后,进行编译)

当使用#{}的方式编写的sql时,#{} 对应的变量自动加上单引号 ' ',变为字符串

select * from #{param}

当我们给参数传入值为user时,他的sql是这样的:

select * from 'user'

当使用${}时,${} 是进行sql拼接,${} 对应的变量是不会被加上单引号 ' ' 的。

select * from ${param}

当我们给参数传入值为user时,他的sql是这样的:

select * from user

# 如何防止sql注入问题

什么是SQL注入?

SQL注入产生的原因便是:没经查验或是未充分检验的输入数据,出现意外变成了sql代码而被执行。对于SQL注入,则是递交的数据,被数据库系统编译而造成了开发人员预估以外的问题。也就是说,SQL注入是用户的输入信息,在连接SQL语句的过程中,跨越了数据本身,变成了SQL语句逻辑的一部分,随后被拼凑的SQL语句被数据库运行,造成了难以挽回的损失。

sql注入发生的时间,sql注入发生的阶段在sql预编译阶段,当编译完成的sql不会产生sql注入

#在预编译阶段使用 ?占位,不管输入何种参数时,都可以防止sql注入

假设mapper.xml文件中sql查询语句为:

<select id="findById" resultType="String">
    select name from user where id = #{userid};
</select>

当传入的参数为3; 当我们执行时可以看见打印的sql语句为:

select name from usre where id = ?;

因为mybatis底层实现了预编译,底层通过prepareStatement预编译实现类对当前传入的sql进行了预编译,最后执行时将 3 传入,这样就可以防止sql注入了

如果将查询语句改写为:

<select id="findById" resultType = "String">
select name from user where id=${userid}
</select>

当输入参数为3; 

select name from user where id = 3;

mybatis没有进行预编译语句,它先进行了字符串拼接,然后进行了预编译。这个过程就是sql注入生效的过程。

什么时候使用${ }

1.当sql中表名是从参数中取的情况,需要动态拼接表名时。

    select * from ${tablename}

 2.order by 必须使用跟字段名,这个字段名不能带引号

select * from table order by ${username} 

小苏打白
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis#{}和{}理解
hzl1998812的博客
02-19 1821
在做项目,写mybatis的mapper.xml时我们会用到#{},${}。 区别: #{}叫预编译处理,mybatis在处理#{}时,会将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值;传进来的数据会加个" "(#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号),有效防止sql注入。${}就是字符串替换,字符串拼接参数。直接替换掉占位符。$方式一般用于传入数据库对象,例如传入表名. 关于sql注入: 什么是 SQL 注入呢?比如 select *
mybatis的#和$的区别?
gol_phing的博客
08-12 762
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为
mybatis - 取值符号:# 和 $的区别
最新发布
pig_ning的博客
04-25 455
mybatis - 取值符号:# 和 $的区别
Mybatis #{}和${}的区别是什么?
lcb1424556301的博客
02-17 249
1.#{}是预编译处理、是占位符,${}是字符串替换、是拼接符 2. Mybatis 在处理#{}时,会将 sql 的#{}替换为?号,调用 PreparedStatement 来赋值 3. Mybatis 在处理${}时,就是把${}替换成变量的值,调用 Statement 来赋值 4.使用#{}可以有效的防止 SQL 注入,提高系统安全性。
Mybatis的#号与$符号的区别
小泽
04-05 1万+
1、#{变量名}可以进行预编译、类型匹配等操作, 2、#{变量名}会转化为jdbc的类型。 3、${变量名}不进行数据类型匹配,直接替换。 4、#方式能够很大程度防止sql注入。 5、$方式无法方式sql注入。 6、$方式一般用于传入数据库对象,例如传入表名。 7、尽量多用#方式,少用$方式。 8、#会自动加双引号,$不会加双引号 这两个符号在mybatis最直接的区别就是:#相当于对数据 加上 单引号,$相当于直接显示数据(只讨论字符串类型的)。 1、#对传入的参数视为字符串,也就..
面试题:Mybatis#{}和${}的区别
天上掉下两毛钱
02-23 1242
#{}和${}的区别是什么? #{}是预编译处理,${}是字符串替换。 Mybatis在处理#{}时,会将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值; Mybatis在处理${}时,就是把${}替换成变量的值。 使用#{}可以有效的防止SQL注入,提高系统安全性。 ...
MyBatis分页插件PageHelper的具体使用
08-26
MyBatis分页插件PageHelper的具体使用 MyBatis分页插件PageHelper是MyBatis框架的一个分页插件,它可以帮助开发者轻松地实现数据库的分页功能。PageHelper插件可以自动将已经写好的SQL语句进行分页加工,使得...
Mybatis-Plus条件构造器的具体使用方法
09-07
Mybatis-Plus,条件构造器(Wrapper)扮演着核心角色,帮助开发者构建复杂的查询和更新语句。本文将深入探讨条件构造器的使用方法,特别是`AbstractWrapper`和它的子类`QueryWrapper`、`LambdaQueryWrapper`以及...
Mybatis3文手册【带目录】
10-17
12. **附录**:包含Mybatis的所有XML元素和注解的详细说明,是查阅具体功能的重要参考。 此外,压缩包的"www.Linuxidc.com.png"可能是一个网站的标识,"教程重要说明及更新链接点击这个文本.txt"可能是提供额外...
mybatis-generator-1.4.0.rar
07-28
`mybatis-generator-1.4.0.rar` 是一个压缩包,包含了MBG的1.4.0版本及其相关的资源,包括可能的使用说明和运行所需的jar包。 **1. MyBatis Generator(MBG)简介** MyBatis Generator是MyBatis框架的一个插件,它...
Java基于mybatis的数据库加密项目源码+项目使用说明.zip
07-05
Java基于mybatis的数据库加密项目源码+项目使用说明.zip 该项目是个人毕设项目源码,评审分达到95分,都经过严格调试,确保可以运行!放心下载使用。 该项目资源主要针对计算机、自动化等相关专业的学生或从业者下载...
mybatis的#和$的区别
热门推荐
kobi521的专栏
11-25 11万+
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是111,那么解析成sql时的
Mybatis#{}和${}的用法
li_w_ch的博客
11-17 1万+
1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。 比如, select * from student where student_name = #{studentName} 如果传入的值为xiaoming,那么解析成sql的值为student_name="xioming"。 2、${}将传入的数据直接显示生成在sql。 如 : select ${fieldNmae} from student where student_age = 18 此时,传入的参数作为要查询的字
Mybatis
tianzhenhahaha的博客
08-11 1924
Mybatis快速入门
MyBatis xml特殊符号处理
jiuhuayuese的博客
06-01 1533
MyBatis xml特殊符号处理
MyBatis#{}和${}的不同和${}的妙用
Marvel__Dead 胡艺宝的博客
04-14 1万+
突然意识到sql语句的独特语义要和代码分离,我们就不能够在代码写sql语句!!比如我要用${}在MyBatis的sql拼接排序类型的时候,我就不能够在Java代码直接写参数字符串为Order By哪儿个类型#{}和${}的基本不同我就不想说了,这里要说的是进一步对占位符和字符拼接的字面语义的领悟!!#{}和${}基本不同在这篇文章的最后有提到过占位符:占位符就是在某个地方占领一个位置,把它单独
mybatis#和$的区别
princesfang的博客
11-09 193
#相当于对数据 加上 双引号,$相当于直接显示数据
mybatis的两种传参方式#{}和{}原理
laughitover
08-28 5458
之前没注意,最近公司测试提了个bug, 问题:输入框输入单引号会报错, 原因:单引号截断了sql 总结:#{}速度快,能防止sql注入,是占位符方式,先预编译,然后填充参数,字符串格式,相当于填空题 用户名=(___),参数只是下划线上的内容           ${}是直接拼接到语句上,执行语句,对于上面那道填空题 ,这种方式需要自己拼括号和参数,但是也可以拼接想执行的任何语句,也就是
Mybatis的#{}占位符和{}拼接符的区别
qq_41584510的博客
08-26 1073
#{}占位符:占位 如果传入的基本数据类型,那么#{}的变量名称可以随意写 如果传入的参数是POJO类型,那么#{}的变量名称必须是POJO的属性 {}拼接符:字符串原样拼接如果传入的是基本数据类型,那么{}拼接符:字符串原样拼接 如果传入的是基本数据类型,那么{}拼接符:字符串原样拼接如果传入的是基本数据类型,那么{}的变量名必须是value 如果传入的参数是POJO类型,那么${}的...
mybatis_3.5.9官方文文档pdf
04-07
动态SQL是MyBatis的一个强大特性,它允许在SQL语句使用条件判断、循环等逻辑,以适应不同的查询需求。这大大提高了SQL的灵活性,减少了为不同场景编写多个固定SQL语句的需要。 Java API是MyBatis的核心接口,包括...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值