Mybatis中的${}和#{}区别

最新推荐文章于 2024-05-02 09:00:00 发布
最新推荐文章于 2024-05-02 09:00:00 发布
阅读量1.4k 收藏 14
点赞数 1
文章标签: 数据库 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62520968/article/details/124682380
版权

一、${}与#{}的区别
1、符号类型

(1)#{}:参数占位符,即预编译
(2)${} :字符串替换符,即SQL拼接
2、防注入问题

(1)#{}:很大程度上能防止sql 注入
(2)${}:不能防止sql 注入
3、参数替换位置

DBMS:数据库管理系统(Database Management System)是一种操纵和管理数据库的大型软件,是用于建立、使用和维护数据库,简称DBMS。它对数据库进行统一的管理和控制,以保证数据库的安全性和完整性。用户通过DBMS访问数据库中的数据,数据库管理员也通过DBMS进行数据库的维护工作。它提供多种功能,可使多个应用程序和用户用不同的方法在同时或不同时刻去建立,修改和询问数据库。

(1)#{}:变量替换是在DBMS 中
(2)${}:变量替换是在 DBMS 外
4、参数解析

(1)#{}:将传入的数据都当成一个字符串,会对传入的变量自动加一个单引号。如:user_id = #{userId},如果传入的值是111,那么解析成sql时的值为user_id = ‘111’,如果传入的值是id,则解析成的sql为user_id = ‘id’。

(2)${}:将传入的参数直接显示生成在sql中,且不加任何引号。如:user_id = ${userId},如果传入的值是111,那么解析成sql时的值为user_id = 111 , 如果传入的值是id,则解析成的sql为user_id = id。
5、用$的情况

(1)MyBatis排序时使用order by 动态参数时需要注意,用$而不是#

默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用:
ORDER BY ${columnName},这里MyBatis不会修改或转义字符串。

(2)${}方式一般用于传入数据库对象,例如传入表名

Select  *  from  ${tableName}  where  user_id = #{userId}

6、sql执行过程

可参考“二”部分的案例
(1)#{}:编译好SQL后语句再去取值
(2)${}:取值以后再去编译SQL语句
7、一般能用#的就别用$
二、SQL解析
1、流程

(1)#{}:动态解析 -> 预编译 -> 执行
(2)${}:动态解析 -> 编译 -> 执行
2、案例

根据用户名name查询用户表user数据,如果 name 的值为 zhangsan
(1)SQL编写
#{}

select * from user where name = #{name};

${}

select * from user where name = ${name};

(2)(预)编译中的处理
#{}:在预处理时,会把参数用一个占位符" ?" 代替,变成以下SQL

select * from user where name = ?;

${}:只是简单的字符串替换,在动态解析时变成以下SQL

select * from user where name = 'zhangsan';

当然了,最后的解析结果是一样的,都是

select * from user where name = 'zhangsan';

捣蛋孩学编程
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Mybatis#{ } 与${ } 的区别
Lzc的博客
06-24 180
Mybatis#{ } 与${ } 的区别 区别: (1)#将入的数据都当成一个字符串,会对自动入的数据一个双引号。如:order by #user_id#,如果入的值是id,则解析成的sql为order by "id"。 (2)$将入的数据直接显示生成在sql。如:order by $user_id$,如果入的值是id,则解析成的sql为or...
Mybatis${}和#{}的区别
founder_forever的博客
03-13 840
${}和#{}的作用 Mybatis在项目起到的是项目和数据库的交互以及sql语句的管理,sql语句的集管理,方便开发人员对sql语句的复用和管理,但是既然需要复用,就表明sql语句本身是进过抽象的,抽象的目标就是参数,在不同的用途就需要入不同的参数${}和#{}就是用来向已经定义好的sql语句入参数的。 ${}和#{}的区别 #{} 这种取值是变异号sql语句之后再取...
MyBatis#{}和${}的区别
m0_67683346的博客
02-28 4667
MyBatis#{}和${}的区别
MyBatis的#{} 和 ${}
最新发布
2301_76161469的博客
05-02 753
由于 ${} 存在 SQL注入的问题,因此,在能够使用 #{} 的情况下,我们尽可能选择使用 #{},而在需要使用 ${} 时,我们需要对用户输入的数据进行验证,确保其符合预期的格式和范围。当使用 ${} 时,由于没有对用户输入进行充分检查,而SQL又是拼接而成的,在用户输入参数时,在参数一些 SQL关键字,达到改变SQL运行结果的目的,也可以完成恶意攻击。当使用 ${} 时,由于参数直接拼接在SQL语句,而字符串作为参数时需要添 '',而 ${} 不会拼接'',因此程序报错。
MyBatis${} 和 #{} 有什么区别
分享Java技术知识,共同成长进步!
09-14 5664
${} 和 #{} 都是 MyBatis 用来替换参数的,它们都可以将用户递过来的参数,替换到 MyBatis 最终生成的 SQL ,但它们区别却是很大的,接下来我们一起来看。 1.功能不同 ${} 是将参数直接替换到 SQL ,比如以下代码: 最终生成的执行 SQL 如下: 从上图可以看出,之前的参数 ${id} 被直接替换成具体的参数值 1 了。 而 #{} 则是使用占位符的方式,用预处理的方式来执行业务,我们将上面的案例改造为 #{} 的形式,实现代码如下: 最终生成的 S
MyBatis #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1219
1、在MyBatis 的映射配置文件,动态递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
mybatis的#{}和${}的区别
勿视人非 的专栏
05-21 3921
1. 取值范围不同 MyBatis既可以获取执行SQL时插入的请求参数,也可以从主配置文件载的配置文件获取配置参数。 #{}只能获取请求参数的值,无法获取配置参数。 ${}在MyBatis初始化时能获取配置参数,如果没有,执行时再获取请求参数。 2. 处理方式不同 #{} 如果SQL只有#{}或者可以被配置参数替换的${},那么在初始化时#{}就被解析成了占位符?。 如果SQL有动态标签(例如if,where),或者无法被配置参数替换的${},那么#{}在执行SQL时才会被替换成占位符?。#{}的
Mybatis#{}和${}的区别是什么?
whitek387的博客
07-30 1208
原文链接,讲的很细!!!!! 动态 sqlMyBatis 的主要特性之一,在 mapper 定义的参数到 xml 之后,在查询之前 MyBatis 会对其进行动态解析。MyBatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 面试题:#{}和KaTeX parse error: Expected 'EOF', got '#' at position 13: {}的区别是什么? 1)#̲{}是预编译处理, {}是字符串替换。 2)MyBatis在处理#{}时,会将SQL
Mybatis#{}和${}的区别
weixin_45370608的博客
06-04 223
Mybatis#{}和${} 1、#{}将入的数据都当成一个字符串,会对自动入的数据一个引号(单引号?双引号?了引号就对了)如: //入的值是sex order by #{column} 解析后为 order by “sex” //将会出错 2、${}将入的数据直接显示生成在sql,如: //入的值是sex order by ${column} 解析后为 order by sex //正确的 3、#{}可以在很大程度上防止sql注入,${}无法防止sql注入 4、${}一般用于
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将入的数据...
Mybatis#{}和${}参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
Java Mybatis的 ${ } 和 #{ }的区别使用详解
08-18
Java Mybatis的 ${ } 和 #{ } 的区别使用详解 Java Mybatis 的 ${ } 和 #{ } 是两个不同的占位符,都是用于在 Mybatis 进行动态 SQL 语句的构建和参数递。然而,这两个占位符在使用时有着极其重要的区别。 ...
MyBatis使用$和#所遇到的问题及解决办法
09-01
MyBatis,$和#的使用是动态SQL的关键部分,它们决定了参数如何被处理和插入到SQL语句。下面将详细解释这两种符号的差异以及如何解决使用过程遇到的问题。 1. #{}与${}的区别: - #{ }:这是MyBatis的预...
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
MyBatis ${}和 #{}的正确使用方法(千万不要乱用)
08-18
MyBatis框架,${} 和 #{} 是两种不同的参数占位符,它们的使用方式和作用有明显的区别,对于SQL语句的安全性和效率有着重要影响。 1. #{} #{} 是预编译处理的方式,也被称为参数绑定或者预处理。在处理 #{ } ...
Mybatis常问:#{}与${}的区别
zjjcchina的博客
06-06 2086
查询到数据才可以是登录成功,否则表示登陆失败,但是会有这么一种情况,我们的SQL语句是由我们拼接的,如果用户故意输入可以让后台解析失败的字符串,这就是SQL注入,例如我们输入密码,输入 '''' ' or 1=1'' 这样,他会在后台进行拼接成select count(1) from table where username = 'username' and password = '' or 1=1;由结果可以看出,我们在没有密码的情况下依旧获取到了数据库的私密信息,由此可见${}存在很大的安全隐患。
Mybatis#和$的区别
热门推荐
伏颜的博客
07-11 1万+
Mybatis#和$的区别
Mybatis$与#的区别, $的应用场景
04-23
Mybatis$和#都用于动态SQL语句的参数绑定,但它们之间有几个区别: 1. #用于预编译,$用于值递。#会将参数放入预编译语句的占位符,可以避免SQL注入,但会使SQL语句无法重用;$将参数直接拼接进SQL,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值