MyBatis 参数赋值:#{} 和 ${}及区别

于 2024-07-29 10:38:00 发布
阅读量815 收藏 24
点赞数 10
分类专栏: MyBatis 文章标签: java 数据库 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60462557/article/details/140747844
版权

一. #{} 和${} 使用

1 对Interger类型的参数

#{}: 
@Select("select username, `password`, age, gender, phone from userinfo where 
id= #{id} ")
 UserInfo queryById(Integer id);

发现输出的SQL语句: 
 select username, `password`, age, gender, phone from userinfo where id= ?
输入的参数并没有在后面拼接,id的值是使用  ? 进型占位。这种SQL 称之为"预编译SQL"。

${}

@Select("select username, `password`, age, gender, phone from userinfo where 
id= ${id} ")
 UserInfo queryById(Integer id);

这次的参数是直接拼接在SQL语句中。

2 对String类型的参数 

#{}:

@Select("select username, `password`, age, gender, phone from userinfo where 
username= #{name} ")
UserInfo queryByName(String name);

${}

@Select("select username, `password`, age, gender, phone from userinfo where 
username= '${name}' ")
 UserInfo queryByName(String name);

字符串作为参数时, 需要添加引号 ' ' , 使用 ${} 不会拼接引号 ' ' , 如果不加就会导致程序报错。
注意到:
#{} 使用的是预编译SQL, 通过 ? 占位的方式, 提前对SQL进行编译, 然后把参数填充到SQL语句中。 #{} 会根据参数类型, 自动拼接引号 ' ' 。
${} 会直接进行字符替换, 一起对SQL进行编译。如果参数为字符串, 需要手动加上引号 ' ' 。
参数为数字类型时,也可以加上,查询结果不变,但是可能会导致索引失效,性能下降。

二、#{} 和${} 区别

#{} 和 ${} 的区别就是预编译SQL和即时SQL 的区别。
当发送一条SQL语句给服务器后, 大致流程如下:
  1. 解析语法和语义, 校验SQL语句是否正确
  2. 优化SQL语句, 制定执行计划
  3. 执行并返回结果
一条 SQL如果走上述流程处理,称之为 Immediate Statements(即时 SQL)

1.性能更好

绝大多数情况下, 某一条 SQL 语句可能会被反复调用执行, 或者每次执行的时候只有个别的值不同(比如 select 的 where 子句值不同, update 的 set 子句值不同, insert 的 values 值不同)。如果每次都需要经过上面的语法解析, SQL优化、SQL编译等,则效率就明显不行。
预编译SQL,编译一次之后会将编译后的SQL语句缓存起来,后面再次执行这条语句时,不会再次编译(只是输入的参数不同), 省去了解析优化等过程, 以此来提高效率。

2.SQL注入

SQL注入:是通过操作输入的数据来修改事先定义好的SQL语句,以达到执行代码对服务器进行攻击的方法。sql 注入代码: ' or 1 = ' 1 

SQL注入举例:

@Select("select username, `password`, age, gender, phone from userinfo where 
username= '${name}' ")
 List<UserInfo> queryByName(String name);
@Test
void queryByName() {
 List<UserInfo> userInfos = userInfoMapper.queryByName(" ' or 1='1 ");
 System.out.println(userInfos);
}

可以看出,查询的数据并不是想要的数据。${} 可能会产生SQL注入的问题,所以用于查询的字段,尽量使用 #{} 预查询的方式。 

SQL注入是一种非常常见的数据库攻击手段, SQL注入漏洞也是网络世界中最普遍的漏洞之一。 如果发生在用户登录的场景中, 密码输入为 ' or 1='1 , 就可能完成登录。
${} 会有SQL注入的风险, 所以尽量使用#{}完成查询。那么, 是不是 ${} 就没有存在的必要性了呢?
下面来看一下 ${} 的使用场景:
 
1. 排序功能

Mapper实现: 

@Select("select id, username, age, gender, phone, delete_flag, create_time, 
update_time " +
 "from userinfo order by id ${sort} ")
List<UserInfo> queryAllUserBySort(String sort);
使用  ${sort} 可以实现排序查询。而使用  #{sort} 查询时会自动加引号, 会导致 sql 错误。
那么使用${}仍然存在SQL注入,需要控制参数,只设置为desc或者asc即可。
除此之外, 还有字段和表名作为参数时, 也只能使用  ${}。但也需要考虑SQL注入。
2. like 查询
${}存在SQL注入的问题,所以不能直接使用 ${}。解决办法:使用 mysql 的内置函数 concat() 来处理,实现代码如下: 
@Select("select id, username, age, gender, phone, delete_flag, create_time, 
update_time " +
 "from userinfo where username like concat('%',#{key},'%')")
 List<UserInfo> queryAllUserByLike(String key);

总结

#{} 和${} 的区别:

1. $符号存在SQL注入问题;

2. $是即时SQL(参数直接拼接),#是预编译SQL(参数通过占位的方式);

3. 像排序功能,like查询等只能使用$,但是得解决SQL注入的问题。

棕豆兔&
关注
专栏目录
MyBatis拦截器:给参数对象属性赋值的实例
08-30
在实际赋值部分,由于示例代码没有给出具体的赋值逻辑,通常这会涉及到反射(`java.lang.reflect.InvocationTargetException`和`BeanUtils`类的引用暗示了这一点),通过反射来设置对象的属性,如设置当前操作用户的...
mybatis中的#{}和${}的区别
勿视人非 的专栏
05-21 3954
1. 取值范围不同 MyBatis既可以获取执行SQL时插入的请求参数,也可以从主配置文件加载的配置文件中获取配置参数。 #{}只能获取请求参数的值,无法获取配置参数。 ${}在MyBatis初始化时能获取配置参数,如果没有,执行时再获取请求参数。 2. 处理方式不同 #{} 如果SQL中只有#{}或者可以被配置参数替换的${},那么在初始化时#{}就被解析成了占位符?。 如果SQL中有动态标签(例如if,where),或者无法被配置参数替换的${},那么#{}在执行SQL时才会被替换成占位符?。#{}的
MyBatis中${} 和 #{} 有什么区别
分享Java技术知识,共同成长进步!
09-14 5824
${} 和 #{} 都是 MyBatis 中用来替换参数的,它们都可以将用户传递过来的参数,替换到 MyBatis 最终生成的 SQL 中,但它们区别却是很大的,接下来我们一起来看。 1.功能不同 ${} 是将参数直接替换到 SQL 中,比如以下代码: 最终生成的执行 SQL 如下: 从上图可以看出,之前的参数 ${id} 被直接替换成具体的参数值 1 了。 而 #{} 则是使用占位符的方式,用预处理的方式来执行业务,我们将上面的案例改造为 #{} 的形式,实现代码如下: 最终生成的 S
mybatis中$ 和 #取值的区别
qq_18846873的博客
04-27 1608
mybatis中可以使用${} 和 #{}两种方法获取参数,二者的区别如下: 1、在传入参数为8种基本类型+String类型时, ${value}:原值替换,并且{}中只能写成value #{任意名称}:在任意名称前后加引号,并且{}中可以写任意名称都可以识别; 2、在传入参数为对象类型时, #{属性名} :{中必须为属性名},有引号 ${属性名}:{中必须为属性名},无引号 3、...
MyBatis(三)——动态SQL
weixin_43691723的博客
08-17 398
本文主要介绍了mybatis中动态sql语句的使用。
MyBatis】使用#{}与${}获取参数
little_fat_sheep
06-12 1364
1 前言 MyBatis 的映射文件中,获取参数的方式主要有 ${ } 与 #{ },主要区别如下: ${}:字符串替换,使用 Statement 方式操作 SQL,在为 String 类型变量赋值时,需要手动加单引号,没有预编译,不可以防止 SQL 注入; #{}:参数占位符,使用 PreparedStatement 方式操作 SQL,在为 String 类型变量赋值时,可以自动加单引号,有预编译,可以防止 SQL 注入; 一般建议使用 #{},但在模糊查询和批量删除时,建议使用 ${}。由于 #{
Mybatis传递多个参数进行SQL查询的用法
09-02
在处理多参数查询时,MyBatis提供了多种解决方案,包括通过Map和JavaBean传递参数。下面将详细介绍这两种方法。 ### 1. 通过Map传递多个参数 当需要传递多个参数时,可以使用`Map, Object>`作为方法的参数。在Java...
mybatis-plugin:mybatis插件用于自动设置属性,可扩展性强。
03-07
然而,反射操作相比直接的实例化和赋值操作来说,开销较大。mybatis-plugin通过拦截器在数据映射时,自动将结果集中的数据映射到对象的属性上,减少了反射调用,提升了性能。 此外,该插件还强调了可扩展性。这意味...
mybatis查询语句揭秘之参数解析
08-26
MyBatis查询语句揭秘之参数解析 MyBatis是一种流行的Java持久层框架,它提供了强大的查询功能。其中,参数解析是MyBatis查询语句中不...了解MyBatis参数解析机制可以帮助我们更好地使用MyBatis框架,并提高开发效率。
mybatis同一张表多次连接查询相同列赋值问题小结
08-31
MyBatis的XML映射文件中,相应的`<select>`标签也应该更新,确保所有的参数和别名都能正确匹配。 总结来说,解决MyBatis中同一张表多次连接查询相同列赋值问题的关键在于保持列名的唯一性,这可以通过ResultMap的...
Mybatis中#{ }与${ }使用总结
soulfire的博客
07-11 764
#{ }与${ }的区别 1、#{ }将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。 如: delete from user where name= #{name} 实际相当于一个占位符: delete from user where name= ? 如果传入的值是123,那么解析成sql时的值为 delete from user where name= 123, 如...
MyBatis(四)Mybatis参数
刘伟佳的博客
04-26 1723
目录Mybatis参数一、parameterType配置参数1. 引入2. 注意事项3. 传递poji包装对象①编写QueryVo②编写持久层接口③持久层接口的映射文件④测试包装类作为参数⑤运行结果二、Mybatis的输出结果封装1. 基本类型示例① Dao接口② 映射配置2. 实体类类型示例① Dao接口② 映射配置3. 特殊情况示例① 修改实体类② Dao接口③ 映射配置④ 测试查询结果⑤ ...
Mybatis中${}和#{}取值的区别
long_World的博客
09-22 843
Mybatis中${}和#{}取值的区别 相同点: #:可以获取map中的值或者pojo对象属性的值; ${}:可以获取map中的值或者pojo对象属性的值; 区别: #{}:是以预编译的形式,将参数设置到sql语句中,PreparedStatement;防止sql注入 $:取出的值直接拼装在sql语句中;会有安全问题; 效果实例 select * from tbl_employee where id=${id} and last_name=#{lastName} Preparin
Mybatis中的$和#
sillyyyy的博客
05-08 2685
SQL语句执行时,Mybatis会将$占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用$占位符可以在某些情况下提高SQL语句的性能,因为在预编译时不需要处理参数占位符。#用于预编译,表示参数占位符,例如:#{username}。在SQL语句执行时,Mybatis会将占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用#占位符可以有效地防止SQL注入攻击,因为Mybatis会将参数值转义后再替换占位符。使用哪种占位符取决于具体的需求,如果需要防止SQL注入攻击,则应该使用#占位符;
MyBatis中#{}和${}的区别
m0_67683346的博客
02-28 4992
MyBatis中#{}和${}的区别
Mybatis中的${}和#{}区别
web18484626332的博客
08-02 8873
动态sqlmybatis的主要特性之一,在mapper中定义的参数传到xml中之后,在查询之前,mybatis会对其进行动态解析。mybatis为我们提供了两种支持动态sql的语法#{}以及${}提示以下是本篇文章正文内容,下面案例可供参考。...
MyBatis参数占位符 #{} 和 ${}
最新发布
qq_45875349的博客
05-22 1315
#{}和${}区别详解
MyBatis中#与$的区别深度解析
weixin_52721608的博客
01-28 626
MyBatis中,#和$分别代表预编译参数和字符串拼接。它们在处理SQL语句中的参数时有着不同的行为。MyBatis中#与的区别主要在于预编译参数和字符串拼接的处理方式。使用#可以确保SQL代码的安全性,但可能会影响性能;使用可以提高性能,但需要注意防止SQL注入攻击。在实际开发中,应根据具体需求选择合适的符号。希望本文能够帮助读者更好地理解和使用MyBatis中的#与$。
一文解惑mybatis中的#{}和${}
一个菜鸡的博客
07-19 5857
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
Mybatis自学笔记:详尽配置与使用技巧
Mybatis避免了几乎所有的JDBC代码和手动设置参数以及获取结果集。Mybatis可以使用简单的XML或注解用于配置和原始映射,将接口和Java的POJOs(Plain Old Java Objects,普通的Java对象)映射成数据库中的记录。 ### ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值