一些特殊SQL使用Mybatis的#{}和${}注意点

最新推荐文章于 2024-02-28 21:27:26 发布
最新推荐文章于 2024-02-28 21:27:26 发布
阅读量1.9k 收藏 7
点赞数 1
分类专栏: MyBatis 文章标签: mybatis java mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63520117/article/details/127386509
版权

Mybatis对JDBC进行了进一步封装,使得我们可以更加便捷的使用Java操作数据库。Mybatis获取参数值有两种方式:#{}${}

在大部分情况下,#{}${}都能相互替代,使用两者之一即可,更加推荐使用#{},因为可以防止SQL注入问题,但是由于#{}${}本质上的不同,部分SQL语句使用#{}${}需要格外注意

#{}和${}本质区别

  1. #{}本质上是占位符赋值,为字符串类型或日期类型的字段进行赋值时,可以自动添加单引号
  2. ${}本质上是字符串拼接,为字符串类型或日期类型的字段进行赋值时,需要手动加单引号

模糊查询

这个场景下,使用#{}${}都能达到目的,但是用法稍有不同

Mapper接口

List<User> selectLike(@Param("likeString") String likeString);

直接使用#{}

<select id="selectLike" resultType="pojo.User">
	select * from user where user_name like '%#{likeString}%'
</select>

结果报错,?占位符被当做字符串处理了

在这里插入图片描述

将#{}换成${}

<select id="selectLike" resultType="pojo.User">
    select * from user where user_name like '%${likeString}%'
</select>

成功执行

如果非要使用#{},也不是没有解决办法

使用""拼接

<select id="selectLike" resultType="pojo.User">
    select * from user where user_name like "%"#{likeString}"%"
</select>

结果
在这里插入图片描述

使用concat函数

<select id="selectLike" resultType="pojo.User">
    select * from user where user_name like concat('%',#{likeString},'%')
</select>

结果

在这里插入图片描述

动态表名

在某些场景下,我们需要来回操作各种表,但SQL语句功能一致,这时我们可以使用动态表名,即传参为表名类型,这时就要从#{}${}中进行选择了

Mapper接口

List<User> selectAllFromTable(@Param("tableName") String tableName);

直接使用#{}

<select id="selectAllFromTable" resultType="pojo.User">
    select * from #{tableName}
</select>

结果报错,原因在于#{}为占位符赋值,传参为String的话就会自动补上单引号'',而表名不允许添加单引号,所以导致出错

在这里插入图片描述

使用${}

<select id="selectAllFromTable" resultType="pojo.User">
    select * from ${tableName}
</select>

结果成功了,所以在动态表名的情况下,我们只能使用${}

在这里插入图片描述

分页

分页是一个实际开发中用的很广泛的一个功能,但是使用MyBatis传参进行手动分页时,坑可不小

首先我们来看一下分页公式

select * from <表名> limit <每页大小> * (<页码> - 1), <每页大小>;

写出公式,分页就变得很简单了,但是这时候使用#{}进行传参就有一些问题

/**
 * @param pageSize 每页大小
 * @param currentPage 当前页码
 * @return 结果集List
 */
List<User> selectAllByPage(@Param("pageSize") Integer pageSize, @Param("currentPage") Integer currentPage);

使用#{}

<select id="selectAllByPage" resultType="pojo.User">
    select * from #{pageSize} * (#{currentPage} - 1), #{pageSize}
</select>

结果报错,原因在于limit后面不能运算,而我们传入的正是运算表达式

在这里插入图片描述

既然不能运算,那我们将运算结果传进去不就好了?

<select id="selectAllByPage" resultType="pojo.User">
    select * from #{pageSize * (currentPage - 1)}, #{pageSize}
</select>

结果还是报错,原因在于#{}会将大括号内的表达式整体当成一个参数给占位符赋值,这显然是不可以的

在这里插入图片描述

使用${}

<select id="selectAllByPage" resultType="pojo.User">
    select * from user limit ${pageSize * (currentPage - 1)}, #{pageSize}
</select>

结果成功了,${}会先把大括号内的表达式计算出来,再来进行字符串拼接

在这里插入图片描述

注:不光分页场景需要注意${}和#{},其他需要传入计算表达式的场景也需要注意

批量删除

有些场景,需要我们根据id数组批量删除记录,这个时候也有一些坑

由于id数组的长度是不确定的,所以我们不能确定参数的个数,但是我们可以使用in关键字,这个时候我们将id数组转为字符串进行传参就好了

[1,2,3] => 1,2,3

Mapper接口

Integer deleteByIds(String Ids);

使用#{}

<delete id="deleteByIds">
    delete from user where id in (#{ids})
</delete>

结果报错,原因在于in后面的小括号里面的'1,2,3'为字符串类型且为一个整体,与整数类型不符,因此不能使用#{}

在这里插入图片描述

使用${}

<delete id="deleteByIds">
    delete from user where id in (${ids})
</delete>

结果成功了,看来有些场景不得不使用${}

在这里插入图片描述

使用${}

<delete id="deleteByIds">
    delete from user where id in (${ids})
</delete>

结果成功了,看来有些场景不得不使用${}

神笔码农.
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
主要介绍了Mybatis中#{}和${}传参的区别及#和$的区别小结 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
Mybatis下动态sql中##和$$的区别讲解
08-26
今天小编就为大家分享一篇关于Mybatis下动态sql中##和$$的区别讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
sql语句中使用#{}与${}的区别
最新发布
m0_64823170的博客
02-28 616
比如一个登录表单,攻击者在用户名字段输入 admin' --,如果后端SQL语句是。这里 -- 后面的内容被注释掉,因此SQL语句实际上忽略了密码检查。则实际执行的SQL语句变成了。
浅谈mybatis中的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis中的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
浅谈Mybatis #和$区别以及原理
08-18
主要介绍了浅谈Mybatis #和$区别以及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
sql映射文件中#{}和${}两者之间有什么区别
m0_46639782的博客
09-24 309
MyBatisSQL映射文件中,#{} 和 ${} 是两种用于插入变量值的方式。
sql语句中的符号】(通配符+#{}+${})
灵活的小胖子
08-17 8819
背景:别人写的代码,由于数据库添加了一个is_delete(0:未删除;1:已删除)字段用来做假删除,大家都知道,如果说一条数据删除了,那么肯定是不能查出来的了,因此,我的任务就是修改由于添加一个字段而引发的灾难。 问题: 我们的sql: select i.id, i.project_id, i.sets, i.name, i.length, i.likes, i.url, i.type, p.project_name from
彻底搞懂MyBaits中#{}和${}的区别
緑水長流*z
07-11 3718
MyBatis中${}和#{}的区别 1.1 ${}和#{}演示 数据库数据: dao接口: List<User> findByUsername(String username); List<User> findByUsername2(String username); Mapper.xml: <!-- 使用#{} --> <select id="findByUsername" parameterType="java.lang.String" resu
${}和#{}的区别以及${}的sql注入问题
acsfvsv的博客
10-15 883
最近看到了这个问题,然后深入了解了一下这个sql 的注入问题,本片文章将会介绍他们的区别以及sql注入问题。
03-映射文件的sql语句中 #{} 和 ${} 的区别以及实现模糊查询
qq_35885612的博客
01-29 452
映射文件的sql语句中 #{} 和 ${} 区别以及实现模糊查询 sql 语句中的 #{} #{} 模糊查询错误用法 #{} 实现模糊查询 sql 语句中的 ${} ${} 实现模糊查询 #{} 与 ${} 对比 sql 语句中的 #{} 表示一个占位符号,通过 #{} 可以实现 preparedStatement 向占位符中设置值。 自动进行 java 类型和 jdbc 类型转换。 可以有效防止 sql 注入。 可以接收简单类型值或 pojo 属性值。 如果 .
MyBatis之动态SQL、#与$的区别和结果映射
weixin_74268571的博客
08-24 2518
MyBatis动态SQL的概念与常用元素,三种模糊查询的方式以及#和$的区别,Mybatis的结果映射---resultType与resultMap的区别
sql中 ${}和#{}的区别
qq_47219637的博客
12-28 952
在这里用到了#{},使用#时: 1、用来传入参数,sql在解析的时候会加上” “,当成字符串来解析 ,如这里 role_id = “roleid”; 2、#{}能够很大程度上防止sql注入; 延伸: 1、用传入数据直接显示在生成的sql中,如上面的语句,用roleid={roleId,jdbcType=INTEGER},那么sql在解析的时候值为roleId = roleId,执行时会报错; 2、${}方式无法防止sql注入; 3、$一般用入传入数据库对象,比如数据库表名; 4、能用#{}时尽量用#{};
sql中#{}和${}的区别
自由自在的博客
03-09 614
#{} 传入值时,sql解析时,参数是带引号的,而${}穿入值,sql解析时, 参数是不带引号的。 #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号, 而$将传入的数据直接显示生成在sql中。 #方式在很大程度上能够防止sql注入,$方式无法防止sql注入。$方式 一般用于动态sql,直接接收sql拼接。基本上能不用$就不用,尽量使用#。 MyBatis排序使用order b...
SQL —— #{} 和 ${}
看了就会暴富的博客!
11-17 3379
问题 sql语句可以使用#{} 或${}进行传参,那么他们有什么区别,使用上有什么需要注意的地方呢? 解决 在预编译中的处理是不一样的。#{} 在预处理时,会把参数部分用一个占位符 ? 代替,变成如下的 sql 语句:select * from a where name = ?; 而 ${} 则只是简单的字符串替换,在动态解析阶段,该 sql 语句会被解析成:select * from a where name = 'zhangsan'; 实际使用 优先使用 #{}。因为 ${} 可能会导致..
sql注入实例分析
weixin_30624825的博客
07-23 3405
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执...
sql中#{}与${}的区别
weixin_72766348的博客
08-28 790
{}
sql语句中 #{}与${}的用法
热门推荐
cmjimmy的博客
08-24 1万+
1介绍 测试 ${} 在没有特殊要求情况下,通常我们使用#{}占位符,有些情况下必须使用${}了解即可 例如:需要动态拼接表名. 下面是模糊查询的应用#{}与${} 下面是错误的使用#{} 下面是正确的方式使用#{}模糊查询 掌握. ...
mybatis 07: sql标签中 “#{}“ 和 “${}“ 的作用和比较
Candyz7的博客
08-13 571
Users{id=2, userName='小王', birthday=Thu Jul 12 00:00:00 CST 2001, sex='1', address='芜湖市'}Users{id=2, userName='小王', birthday=Thu Jul 12 00:00:00 CST 2001, sex='1', address='芜湖市'}存在的问题:两条sql语句的结构在本质上是相同的,写两条语句十分冗余,可以采用替换列名的方式进行优化。//获取mybatis动态代理对象。...
mybatis #{} 和${}使用场景
08-24
MyBatis中,#{}和${}是两种不同的占位符使用方式。 #{}用于传递参数,它会将传递的参数值安全地替换到SQL语句中,以防止SQL注入攻击。在SQL执行过程中,#{}会将参数值进行预编译处理,生成一个占位符,并使用PreparedStatement对象来执行SQL语句,这样可以提高执行效率。因此,#{}在编写动态SQL时是更安全和推荐的方式。 ${}则是直接将参数值拼接到SQL语句中,没有经过预编译处理。这种方式适用于一些特殊情况,比如在表名、列名等需要动态拼接的地方。但是,由于没有预编译处理,可能存在SQL注入的风险,所以在使用${}时需要特别小心,确保传递的参数是可信的。 综上所述,#{}和${}的使用场景可以总结如下: - 使用#{}时,适用于传递参数的情况,可以提高SQL执行效率,并且避免SQL注入攻击。 - 使用${}时,适用于一些需要动态拼接的场景,但需要注意防止SQL注入,确保传递的参数是可信的。 <span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Mybatis #和$获取参数值的区别以及@param的使用场景](https://blog.csdn.net/Tom098/article/details/103381901)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [Mybatis中#和$的区别](https://blog.csdn.net/m0_52388979/article/details/125720091)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值