Mybatis的#{}与${}占位符

最新推荐文章于 2023-07-24 17:22:56 发布
最新推荐文章于 2023-07-24 17:22:56 发布
阅读量593 收藏
点赞数 1
文章标签: mybatis java sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48215210/article/details/127175544
版权

在使用Mybatis配置SQL语句时,SQL语句中的参数可以使用#{}格式的占位符,例如

<select id="getStandardById" resultMap="StandardResultMap">
    SELECT
        <include refid="StandardQueryFields"/>
    FROM
        pms_album
    WHERE
        id=#{id}
</select>

其实,还可以使用${}占位符!

以上配置,使用#{}或${}格式的占位符均可以正常通过测试!

另外,再使用一段代码进行测试:

SELECT count(*) FROM pms_album WHERE name=#{name}

以上代码,使用#{}格式的占位符可以正常通过测试,但是,使用${}格式的占位符则会出现错误:

错误的原因是使用${}占位符,SQL语句中将测试参数‘name’的值作为了列名(字段名)

其实,在SQL语句中,除了关键字,数值,运算符,函数等非常固定的内容以外,所有的内容都会被视为某个名字,例如:表名,字段名或其他自定义的名称(例如索引名等),比较典型的应用,例如:

update bank_account set money = money + 1000 where id = 1;

以上SQL语句的意思大致是:将id=1的账户的余额在现有基础之上增加1000.

可以看到,在以上set money=money+1000部分的代码片段中,等号右侧的money会被视为“字段名!”

为了避免MySQL把‘name’视为字段名,必须在‘name’的两侧添加一对单引号,例如

SELECT count(*) FROM pms_album WHERE name='${name}'

或者,在测试数据的两侧添加一对单引号也是可以的:

String name="'小米'";

所以,在SQL语句中,只有将值使用一对双引号框住(数值除外),才会被认为是“值”!

在MySQL处理SQL语句时,会经过词法分析,语义分析,然后再执行编译,最终执行!

在Mybatis中,使用#{}格式的占位符,在底层实现时,会使用预编译(在编译时与参数值无关)的处理机制,值i将会执行再带入!由于采用了预编译的做法,所有值都不用考虑数据类型的问题,例如,不需要给字符串类型的值添加一对单引号,并且,预编译是安全的,不会出现SQL注入问题,这种做法中,#{}占位符只能表示SQL语句中的某个值,而不能表示其它内容!

使用${}格式的占位符,在底层实现时,会先将值拼接到原SQL语句中,然后再执行编译的相关流程!由于不是预编译的,字符串,日期等类型的值需要添加一对单引号,否则,将被视为字段名,运算表达式等,由于是先带入值再执行编译相关的流程,所以,代入得值是可以改变语义的,是存在SQL注入风险的!这种做法中,${}占位符可以表示SQL语句中的任何片段,只需要保证拼接起来后可以通过编译即可!

牛老师来巡山~
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
mybatis占位符的讲解
毕业势必进大厂的博客
11-05 5657
mybatis中,占位符有两个,一个是#,一个是$,这两个有什么区别,我们分别来讲解一下 1. 占位符#{} 语法:#{字符} #占位符告诉mybatis使用实际的参数值代替。并,#{…}代替sql语句的"?"。这样做更安全,更迅速,通常也是首选做法 mapper文件中 <select id="selectStudentById" parameterType="int" resultType="com.lu.entity.Student"> select id, name, email, a
Mybatis下动态sql中##和$$的区别讲解
08-26
一个#{ }被解析为一个参数占位符?。而${ }仅仅为一个纯碎的string替换,在动态SQL解析阶段将会进行变量替换。例如,Mapper.xml中如下的SQL: select * from user where name = ${name}; 当我们传递的参数为"Jack...
Mybatis 占位符
最新发布
u010389826的博客
07-24 746
1)#{ } :执行sql时,会将#{ }占位符替换为?,将来自动设置为参数值。· 如果要对表名、列名进行动态设置,只能使用${ } 进行sql拼接。· 使用CDATA字符,IDEA中直接输入大写的"CD"会自动提示补全。用于列名和POJO字段名称映射,包括id 和 result两个类型。2)${ } : 拼sql, 会存在sql注入问题。用于设置参数类型,该参数可以省略。·参数传递:都使用#{ }· 转义字符 < >等。
Mybatis占位符
qq_44182543的博客
03-02 357
#:占位符,告诉Mybatis使用实际的参数值代替。并使用PrepareStatement对象执行sql,#{}代替sql语句的“?”。这样做更安全,通常也是首选做法。执行效率高,可以防止slq注入 <select id="selectById" resutltType="com.milkandtea.entitu.Student"> select * from student where id = #{id} </select> 转为Mybatis执行的是一下这样的代码 S.
Mybatis中的占位符
林中鸟的博客
08-27 2486
mybatis中#{} #{}占位符是为了获取值,获取的值作用在where语句后insert语句后,update语句后, #{}获取值,是根据值得名称取值 a) 参数是基本数据类型,那么在映射的语句中可以不写paramterType,#{}中的参数名也可以随意写 b) 参数是自定义类型,那么必须填paramterType,#{}中的名称是自定义类型的属性名,该属性有对应的get方法。如果没有get方法,那么会根据反射去获取该类型的值,如果找不到,那么ReflectionException异常 c) 参数可以
Java MyBatis 占位符
Claroja
05-24 273
不同点: #{}:相当于预处理中的占位符?。可以防止SQL注入。 ${}:相当于拼接SQL串,对传入的值不做任何解释的原样输出。会引起SQL注入。 相同点: 可以接受HashMap、POJO类型的参数。 当接受简单类型的参数时,#{}里面可以是value,也可以是其他。 ...
浅谈Mybatis #和$区别以及原理
08-18
Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在Mybatis中,#和$都是占位符,但是它们...
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis中的#和$的区别
09-02
MyBatis中,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Java Mybatis中的 ${ } 和 #{ }的区别使用详解
08-18
Java Mybatis 中的 ${ } 和 #{ } 是两个不同的占位符,都是用于在 Mybatis 中进行动态 SQL 语句的构建和参数传递。然而,这两个占位符在使用时有着极其重要的区别。 首先,让我们来看一个简单的示例代码。假设我们...
Mybatis日志参数快速替换占位符工具的详细步骤
08-18
主要介绍了Mybatis日志参数快速替换占位符工具的详细步骤,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
MyBatis占位符 #{ } 和 ${ }
weixin_34234823的博客
08-01 1509
2019独角兽企业重金招聘Python工程师标准>>> ...
MyBatis--------占位符${}与#{}
大宇的博客,欢迎访问
04-06 582
一、基本区别 简单的说就是#{}传过来的参数带单引号'',而${}传过来的参数不带单引号。 涉及到这个问题,最初是在毕业设计项目中,进行动态排序发现的问题。看下面的SQL语句 <select id="getArticleByCondition" resultType="com.ssi.domains.article.entity.Article"&gt...
Mybatis占位符详解
tpf1070527713的博客
04-15 2477
mybatis中有两种占位符,一种是#{},另一种是${},name这两种占位符有什么区别呢? #{}解析传递进来的参数数据 ${}对传递进来的参数原样拼接在SQL中 #{}的SQL是这样的: ==> Preparing: select T_Id, T_direction, T_courses, T_contents, T_teacher, T_class_type, T_rema...
mybatis (二)占位符
weixin_44032502的博客
02-04 1027
占位符简介一、#{}二、${} 简介 mybatis占位符有两种:#{}、${}。 共同点: 都可以获取参数列表中的参数 不同点: #{}采取预编译的形式将参数设置到sql语句中,可以防止sql注入 ${}直接将取出的值拼装在了sql中,会出现安全问题 一、#{} 应用场景: 普通的条件参数占位 可应用在条件参数上 @select("select * from tb_test where id=#{id}") public Test findById(int id); 二、${} 应用场景: 可
mybatis菜鸟入门之mybatis中的占位符
weixin_49403139的博客
07-18 786
mybatis中的占位符 @[TOC] 个人理解的笔记 mybatis中的占位符: #{} ${}
MyBatis学习笔记占位符#$
caijigskg的博客
03-27 629
#占位符: 告诉mybatis使用实际的参数值代替,并使用PrepareStatement对象执行sql语句,#{}代替sql语句的?占位符,这样更安全,更迅速,没有sql注入风险,通常也是首选的做法。 sql映射文件这样写: <select id="mybatissql" resultType=""> select id,name,age from student where id=#{studentid} or name=#{studentname} </select>
MyBatis——谈谈占位符(#、$)的理解与使用
热门推荐
★★光亭★★
03-02 2万+
MyBatis——谈谈占位符(#、$)的理解与使用
mybatis 占位符$ 与#区别
yuhui666666的博客
06-20 226
&lt;select id="getTbCusFirmChgAry" parameterType="map" resultMap="BaseResultMapVo"&gt;   select C.* from TB_CUS_FIRM_CHG C    where 1=1   &lt;if test="sCustomerID!=null and sCustomerID!=''"&gt;
mybatis #,$ 的区别
07-13
具体来说,#{}会把传递进来的参数值替换成一个占位符,并且对占位符进行预编译处理,最终生成一个完整的SQL语句。而${}则直接把传递进来的参数值替换到SQL语句中,没有任何预编译处理。 举个例子,如果我们要传递一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

牛老师来巡山~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值