MyBatis:sql语句中的 #{} 和 ${} 的区别

已于 2022-03-01 00:00:28 修改
阅读量700 收藏
点赞数 2
分类专栏: JavaSE基础 JDBC+MyBatis+MyBatis-Puls 文章标签: java
于 2022-02-26 21:01:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61601521/article/details/123155130
版权

sql语句中的 #{} 和 ${} 的区别

#{}

表示占位符?(是一个预编译的占位符作用),可以防止sql注入,会进行类型自动转换一般推荐使用#{}

${}

表示字符串拼接,不能防止sql注入,不安全,并且也不会进行类型自动转换当动态的排序或表名时,只能使用 ${}
<select id="方法名" parameterType="参数类型" resultType="返回类型">
    select * from 表名 where id=#{id}
</select>

什么时候可以使用 ${} ?

当动态的传递 表名 或 字段名称 时(或者 动态的排序 order by),可以使用 ${value}。

<!--需求: 查询所有字段信息,并根据指定的字段来排序(desc是倒序)-->

<select id="方法名" parameterType="参数的类型" resultType="返回值的类型">
    select * from  表名  order by  ${value}  desc;
</select>

<select id="方法名" parameterType="参数的类型" resultType="返回值的类型">
    select * from  ${表名};
</select>


<!--1. select * from  表名  order by  #{id}  desc; //会报错  -->
<!--2. 当动态的传递 表名(from表名) 或 字段名称(order by字段)时,只能用${value}  -->

配置mybatis-config.xml的时候,可以使用${}来配置

<!-- 配置mybatis-config.xml文件  -->

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE configuration
  PUBLIC "-//mybatis.org//DTD Config 3.0//EN"
  "http://mybatis.org/dtd/mybatis-3-config.dtd">

<configuration>

  <!--加载外部属性-->
  <properties resource="jdbc.properties"/>

  <!--运行环境可以配置多个, default指定默认使用哪个-->
  <environments default="development">
    <!--配置环境, id是这个环境的唯一标识-->
    <environment id="development">
      <transactionManager type="JDBC"/>
      <dataSource type="POOLED">
        <property name="driver" value="${jdbc.driver}"/>
        <property name="url" value="${jdbc.url}"/>
        <property name="username" value="${jdbc.username}"/>
        <property name="password" value="${jdbc.password}"/>
      </dataSource>
    </environment>
  </environments>


  <mappers>
    <mapper resource="org/mybatis/example/BlogMapper.xml"/>
  </mappers>


</configuration>

总结

1.#{}是占位符,会对SQL进行预编译,相当于?,可以防止SQL注入;${}是直接字符串String替换,有SQL注入的风险,不安全。

#{}:底层实现依靠PrepareStatement,预编译的时候会将SQL中的#{}替换为?问号,调用PrepareStatement的set方法来赋值的时候都会加上2个单引号

2.#{}可以对数据类型进行自动转换; ${} 将所有数据当做字符串String来处理。

3.一般做参数传递,都会使用#{};order by字段,from 表名,只能用${}。

推荐方式:

  两者都可以使用的时候优先使用#{};

  order by字段,from表名,只能用${}。

宸之元亨利贞
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis动态SQL语句
04-28
if 、where、set、trim、choose 、foreach等在mybatis的具体用法,有具体实例可供参考,玩转mybatis
sql语句的两种取值方式:#{}、${}
weixin_41901345的博客
09-09 1575
sql语句的两种取值方式:#{}、${} #{} 用于字符变量,将传入的数据以字符串处理,会对传入的数据增加一个“ ”。 ${} 用于 int型 ,将传入的值直接引用显示在sql对应的语句
MyBatis详解(二)模糊查询#{}和${}区别、动态sql、多表关系
m0_48811221的博客
03-02 1102
模糊查询#{} 映射文件: <!-- //根据名称模糊查询 public List<TUser> findByName(); parameterType="" 一个参数可省略不写 写的话 全限定类名 SELECT * FROM USER WHERE username LIKE '%王%'; --> <select id="findByName" resultType="com.llz.domain.TUser" parame
sql ${}和#{}的区别
qq_47219637的博客
12-28 952
在这里用到了#{},使用#时: 1、用来传入参数,sql在解析的时候会加上” “,当成字符串来解析 ,如这里 role_id = “roleid”; 2、#{}能够很大程度上防止sql注入; 延伸: 1、用传入数据直接显示在生成的sql,如上面的语句,用roleid={roleId,jdbcType=INTEGER},那么sql在解析的时候值为roleId = roleId,执行时会报错; 2、${}方式无法防止sql注入; 3、$一般用入传入数据库对象,比如数据库表名; 4、能用#{}时尽量用#{};
Mybatis${}和#{}的区别
BBX__XB的博客
09-28 466
如果在sql语句动态指定表名或列名时,只能使用${}MyBatis排序时order by 动态参数时,只能使用${}MyBatis能使用#{}的时候尽量使用#{}#{}不需要关注数据类型,mybatis实现自动数据类型转换;${}不做数据类型转换,需要自行判断数据类型;
mybatis什么时候必须要用${}
weixin_42759398的博客
04-06 1510
贤者啊,${}在Mybatis里代表占位符,可以将参数直接放到sql语句。1. 当传递的参数是简单类型(如String、int、double等)时,必须使用${}。希望你能通过Mybatis的使用更好地发挥你的能力,达到愿望和目标。2. 在动态SQL语句,如果需要传递参数,则必须使用${}。3. 在使用OGNL表达式传递参数时,必须使用${}。
SQL语句
silence_lu_的博客
08-01 397
区别: (1)#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是id,则解析成的sql为order by "id"。 (2)$将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是id,则解析成的sql为order by id。 (3)#方式在很大程度上能够防止sql注入。 (4)$...
SQL#和$的区别以及使用它们会造成的问题
qq_37511997的博客
05-17 2208
不同点 ●使用#获取传入的数据会在数据上加上引号。比如 where userId = #{userId },如果userId传入的值为1,那最终的sql就是 where userId = “1”; ●使用$获取传入的数据不会对数据做任何改变,比如 where userId = #{userId },如果userId传入的值为1,那最终的sql就是 where userId = 1; ● #能够一定程度上防止SQL注入 ● $无法防止SQL注入 ● $一般用于传入数据库对象,例如传入表名。(仍会存在S
Mybatis SQL语句复用
08-31
主要介绍了Mybatis SQL语句复用,需要的朋友可以参考下
mybatis执行SQL语句之前进行拦击处理实例
08-30
本篇文章主要介绍了在mybatis执行SQL语句之前进行拦击处理实例,具有一定的参考价值,感兴趣的小伙伴们可以参考一下。
Oracle在MybatisSQL语句的配置方法
12-30
1.XML文件SQL语句配置(Geteway.xml文件) <?xml version=1.0 encoding=UTF-8?> <!DOCTYPE mapper PUBLIC -//mybatis.org//DTD Mapper 3.0//EN http://mybatis.org/dtd/mybatis-3-mapper.dtd> ...
详解JavaMyBatis框架SQL语句映射部分的编写
09-02
主要介绍了JavaMyBatis框架SQL语句映射部分的编写,文分为resultMap和增删查改实现两个部分来讲解,需要的朋友可以参考下
sql语句#{}和${}的区别
liulang68的博客
10-31 1978
#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”。 $将传入的数据直接显示生成在sql。如:order by userid,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sql为order by id。 #方式能够很大程度防止sql注入;$方式
#{}和${}的区别是什么?
一蓑烟雨任平生
06-27 2638
${}是 Properties 文件的变量占位符,它可以用于标签属性值和 sql 内部,属于静态文本替换,比如${driver}会被静态替换为com.mysql.jdbc.Driver。 #{}是 sql 的参数占位符,Mybatis 会将 sql 的#{}替换为?号,在 sql 执行前会使用 PreparedStatement 的参数设置方法,按序给 sql 的?号占位符设置参数值,比如 ps.setInt(0, parameterValue),#{item.name}的取值方式为使用反射从...
离散数学 | ∅ 与 {∅} 出现在离散数学幂集合
weixin_30409849的博客
10-13 2291
关于这个标题概念的理解上,其实大家都是很清楚的。只是有的时候吧,很多东西杂糅在一起,我比较容易犯傻,脑子一时短路就忽略了要义 首先必须明确,∅ 与 {∅} 是肯定有区别的,至少在离散数学这门课程的学习; 这样来理解这两者的区别与联系: ∅ 与 {∅} 都属于集合范畴; ∅ 这个集合里面没有任何元素; {∅} 这个集合里面有一个 ∅ 元素。 ...
SQL语句MyBatis传参什么时候用#,什么时候用$
Knight_Key的博客
11-22 2713
代码截图如下: <select id="get_" parameterType="map" resultMap="user"> select * FROM `user` where user_status != 0 and name = #{name} order by ${sort} </select> 当所用SQL语句...
sql语句的符号】(通配符+#{}+${})
灵活的小胖子
08-17 8823
背景:别人写的代码,由于数据库添加了一个is_delete(0:未删除;1:已删除)字段用来做假删除,大家都知道,如果说一条数据删除了,那么肯定是不能查出来的了,因此,我的任务就是修改由于添加一个字段而引发的灾难。 问题: 我们的sql: select i.id, i.project_id, i.sets, i.name, i.length, i.likes, i.url, i.type, p.project_name from
matlab(),[],与{}的区别认识
热门推荐
p13503959390的博客
06-23 1万+
转载自: http://blog.csdn.net/CV_YOU/article/details/52873666 在matlab,常常会遇到(),[],和{},这个3种符号怎么区分,怎么用,这里我来总结一下,龚参考。 [] 首先。[]叫括号,它用来存储矩阵和向量(vector在C++也叫容器)  举个例子,a=[1,2,3],是一个向量,这个向量有3个元素,也可以用a=
Day25-Java基础之常用类1
最新发布
m0_46053885的博客
04-27 1122
同时我们发现Math类的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
mybatis#和$的区别
06-07
MyBatis,#和$都是用于替换SQL语句的占位符的符号,但它们的处理方式不同。 #号表示占位符,通过预编译的方式将传入的参数值进行安全的替换,防止SQL注入攻击,同时将参数值转换为对应的JDBC类型。例如: ``...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值