# 和 $ 的区别

已于 2023-07-31 13:38:28 修改
阅读量1.6k 收藏 8
点赞数 2
分类专栏: javaEE Mybatis 文章标签: mybatis java 开发语言
于 2023-07-25 11:15:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64188165/article/details/131894695
版权
  • #{}:预编译处理,类似于占位符。
  • ${}:字符直接替换

预编译处理:Mybatis在处理#{}时候,会将SQL中的#{}转换为?,使⽤ PreparedStatement 的 set ⽅法来赋值。

直接替换:是MyBatis 在处理 ${} 时,就是把 ${} 替换成变量的值。

举个例子:

#{}传过来的效果等价于:

${}传过来的效果等价于:

 通过${}传递的参数直接放在SQL中,替换为变量的值,会被当成表中的列,所以直接报错。

可以通过加 "来实现${} 的正确结果使用。即

这样就能实现和 #{} 一样的预处理功能了。只不过很少这样用,因为#{} 更加方便,而且更加安全。

SQL注入

${} 中字符的内容,直接被当作SQL的一部分来运行了,这样的现象也称为SQL注入。我们在添加引号的时候,很可能也出现SQL注入。因此,一般不使用。

SQL注入会影响程序的安全,

SQL注入代码:    ' or 1='1   

演示SQL注入

 那么我们就不会使用${}吗?

当然不会,既然存在自然是有他的用武之地的,下边我们来看${}的使用场景。

$的使用场景

使⽤ ${sort} 可以实现排序查询,⽽使⽤ #{sort} 就不能实现排序查询了,因为当使⽤ #{sort} 查询时, 如果传递的值为 String 则会加单引号,就会导致 sql 错误。

用# 实现排序:

 我们看到结果报错,所以排序的时候只能用$.

$排序时的SQL注入问题

我们上边看到 $ 的主要一个弊端就是SQL注入,而我们的排序时候又只能使用$,那么排序时候的SQL注入怎么解决呢?

在排序时,为了防止用户的恶意SQL,我们可以设置按钮封装,用户只能对正序逆序进行点击,参数由程序员来拼接,后端在查询之前对参数进行校验,只能传入两个值:desc 和 asc.

 like使用#会报错

SQL中的模糊查询,也只能用$,如下:

但是,同样,这里也存在SQL注入的问题,只要应用$,都要解决SQL注入的问题。

在这里这个问题比较难解决。

所以我们用另一种方式,用到一个mysql 的一个内置函数: concat(str1,str2,str3....)

concat(str1,str2...) + #

薛定谔的__猫
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
Mabitis中的#与$符号区别及用法介绍
08-31
主要介绍了Mabitis中的#与$符号区别,需要的朋友可以参考下
【ibatis】ibatis 中 $与#的区别
龙腾四海365的专栏
04-06 1508
ibatis 中 $与#的区别 我们在使用iBATIS时会经常用到#和$这两个符号。 一 .#与$区别说通俗一点就是          $中间的变量就是直接替换成值的          #会根据变量的类型来进行替换          比如articleTitle的类型是string, 值是"标题"的时候               $articleTitle$ = 标题
#{}与${}的区别和使用选择
详情请看注释
12-20 1545
在我们开始使用mapper配置文件来进行编写SQL语句的时候,我们一直使用#{}来进行传参,我们传入一个对象,通过自动获取对象的属性来进行与SQL语句进行交互,其实在传参的时候,还有一种方式,就是:${},那么我们来说一下他们的区别。 #{}与${}的区别和使用选择 #{}: 会把参数的位置使用”?”做占位符,执行SQL的时候才会替换”?”的值 我们在使用M...
Mybatis动态xml中sql语句拼接参数#和$使用
蜗牛快爬
09-20 1308
开发过程中一些sql语句需要在xml中进行书写,同时需要拼接一些参数,用于动态查询,例如where语句,排序字段动态排序等,涉及到了sql参数和字段注入的情况。#用于参数占位,例如字符串、数字型的变量参数占位,where name=#{name} 他在sql中执行语句是 where name=‘*以上两种符号适用于参数占位作用,但是使用有一定的区别
shell脚本中$#、$*、$@、$?、$0-n等含义一次性搞明白!!!
热门推荐
心情舒畅
01-12 3万+
一、Shell脚本变量$#,$*等的含义 1、$#:表示执行脚本传入参数的个数 2、$*:表示执行脚本传入参数的列表(不包括$0) 3、$$:表示进程的id 4、$@:表示执行脚本传入参数的所有个数(不包括$0) 5、$0:表示执行的脚本名称 6、$1:表示第一个参数 7、$2:表示第二个参数 8、$?:表示脚本执行的状态,0表示正常,其他表示错误 二、$*和$@的差异 在shell中,$@和$*都表示命令行所有的参数(不包含$0),但是$*将命令行所有的参数看成一个整体,而$@则区分各
新人一看就懂: #{} 和 ${} 的区别
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
#和$的区别
C18298182575的博客
07-13 9112
MyBatis:#和$的区别 一、结论   #{}:占位符号,好处防止sql注入   ${}:sql拼接符号 二、具体分析 动态 SQL 是 mybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } 和 ${ } 会有不同的表现。 #{ }:解析为一个 JDBC 预编译语句(prepa
$#是什么意思
Norton的专栏
07-09 6644
$#是shell的默认参数,代表后接的参数个数 $@
$ # 区别
weixin_44041998的博客
05-06 1278
#{}是预编译处理,${}是字符串替换。 Mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值; 注:这也是为什么日志系统问题显示sql 不携带 参数 只有???? Mybatis在处理{}时,就是把时,就是把{}替换成变量的值。 使用#{}可以有效的防止SQL注入,提高系统安全性。 他们之间的区别用最直接的话来说就是:#相当于对数据 加上 双引号,$相当于直接显示数据。 1、#对传入的参数视为字符串,也就是它会预编译 select
浅谈Mybatis #和$区别以及原理
08-18
主要介绍了浅谈Mybatis #和$区别以及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
浅谈mybatis中的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis中的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
主要介绍了Mybatis中#{}和${}传参的区别及#和$的区别小结 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
java方法重写(重点讲),方法重载
weixin_46281068的博客
04-27 962
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
Day25-Java基础之常用类1
m0_46053885的博客
04-27 907
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
链表刷题集
最新发布
yajunjiao的专栏
04-30 286
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
Lambda表达式特点
weixin_57763462的博客
04-24 844
**API 设计**:Lambda 表达式鼓励使用函数式接口的设计模式,这改变了 Java 库的设计,例如 `java.util.function` 包下的一系列函数式接口。- **函数式编程**:Lambda 表达式引入了函数式编程的理念,使得 Java 更接近于函数式编程语言,如 Scala 和 Clojure。- **并发编程**:Lambda 表达式与 Java 8 新增的 Stream API 结合使用,可以简化并发编程,特别是与集合的操作相关。
MSE实现全链路灰度实践
云计算、数据库、大数据、深度学习、NLP、Python
04-24 461
待更新。
Java | 冒泡排序算法实现
yingzix688的博客
04-24 909
题目描述 编写一个Java程序,实现冒泡排序算法。程序需要能够接收一个整型数组作为输入,并输出排序后的数组。 冒泡排序是一种简单的排序算法,它重复地走访过要排序的数列,一次比较两个元素,如果他们的顺序错误就把他们交换过来。走访数列的工作是重复地进行直到没有再需要交换,也就是说该数列已经排序完成。
mybatis中#和$的区别
06-07
MyBatis中,#和$都是用于替换SQL语句中的占位符的符号,但它们的处理方式不同。 #号表示占位符,通过预编译的方式将传入的参数值进行安全的替换,防止SQL注入攻击,同时将参数值转换为对应的JDBC类型。例如: ``...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值