sql语句中使用#{}与${}的区别

已于 2024-02-28 21:28:36 修改
阅读量627 收藏 13
点赞数 19
文章标签: sql 数据库
于 2024-02-28 21:27:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64823170/article/details/136356000
版权

在我们自己写sql语句的时候,有的时候需要动态传参,这个时候就需要使用#{}和${}这两个符号作为sql语句来传参

区别:

1:#{}是占位符,${}是拼接符
2:Mybatis处理#{}的时候会自动将sql语句中的#{}替换成?号,调用PreparedStatement来赋值.
如: select * from student where name = #{studentName};
设studentName= zhangsan
在日志中我们就可以看到解析时会将sql语句中的#{studentName}变成?
在日志中的sql语句如下: 
 select * from student where name = ?;
这个?就是你传递的studentName的值zhangsan,而且会自动识别你传递参数的类型。
3:Mybatis处理${}时是直接在sql语句后面拼接你所传参数的值,调用Statement来赋值。
如:select * from student where name = ${userName}
设userName = lisi
看日志就可以发现会把userName中的值拼接上去
在日志中的sql语句如下
select * from student where name = lisi;

但需要注意的点是,在使用${}的时候,并不会自动识别类型,参数的值是什么,就拼接什么
如果你所传的参数是String类型,你在sql语句中使用${}就需要在外面加上单引号(双引号都行)。
sql语句如下所示
select * from student where name = '${userName}'
4:使用${}会出现sql注入的问题

比如一个登录表单,攻击者在用户名字段输入 admin' --,如果后端SQL语句是

SELECT * FROM users WHERE username = '[用户输入]' AND password = '[用户输入]'

则实际执行的SQL语句变成了

SELECT * FROM users WHERE username = 'admin' --' AND password = '[用户输入]'

这里 -- 后面的内容被注释掉,因此SQL语句实际上忽略了密码检查。

暮想丶
关注
  • 19
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
ASP经常使用SQL语句与教程说明
10-30
ASP经常使用SQL语句与教程说明
MysqlSQL语句使用索引的情况
09-09
今天小编就为大家分享一篇关于MysqlSQL语句使用索引的情况,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
sql映射文件#{}和${}两者之间有什么区别
m0_46639782的博客
09-24 335
在MyBatis的SQL映射文件,#{} 和 ${} 是两种用于插入变量值的方式。
一些特殊SQL使用Mybatis的#{}和${}注意点
神笔码农.的博客
10-18 2012
Mybatis对JDBC进行了进一步封装,使得我们可以更加便捷的使用Java操作数据库。#{}和${}在大部分情况下,#{}和${}都能相互替代,使用两者之一即可,更加推荐使用#{},因为可以防止SQL注入问题,但是由于#{}和${}本质上的不同,部分SQL语句使用#{}和${}需要格外注意。
sql语句的符号】(通配符+#{}+${})
灵活的小胖子
08-17 8906
背景:别人写的代码,由于数据库添加了一个is_delete(0:未删除;1:已删除)字段用来做假删除,大家都知道,如果说一条数据删除了,那么肯定是不能查出来的了,因此,我的任务就是修改由于添加一个字段而引发的灾难。 问题: 我们的sql: select i.id, i.project_id, i.sets, i.name, i.length, i.likes, i.url, i.type, p.project_name from
${}和#{}的区别以及${}的sql注入问题
最新发布
acsfvsv的博客
10-15 932
最近看到了这个问题,然后深入了解了一下这个sql 的注入问题,本片文章将会介绍他们的区别以及sql注入问题。
彻底搞懂MyBaits#{}和${}的区别
緑水長流*z
07-11 1万+
MyBatis${}和#{}的区别 1.1 ${}和#{}演示 数据库数据: dao接口: List<User> findByUsername(String username); List<User> findByUsername2(String username); Mapper.xml: <!-- 使用#{} --> <select id="findByUsername" parameterType="java.lang.String" resu
力控5.0SQL语句使用样例
03-20
力控5.0SQL语句使用样例.rar 介绍了关于力控5.0SQL语句使用样例的详细说明,提供力控的技术资料的下载。
jsp与sql语句的混合使用示例
10-26
主要介绍了jsp与sql语句的混合使用,需要的朋友可以参考下
python 在sql语句使用%s,%d,%f说明
09-16
主要介绍了python 在sql语句使用%s,%d,%f说明,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
03-映射文件的sql语句 #{} 和 ${} 的区别以及实现模糊查询
qq_35885612的博客
01-29 456
映射文件的sql语句 #{} 和 ${} 区别以及实现模糊查询 sql 语句的 #{} #{} 模糊查询错误用法 #{} 实现模糊查询 sql 语句的 ${} ${} 实现模糊查询 #{} 与 ${} 对比 sql 语句的 #{} 表示一个占位符号,通过 #{} 可以实现 preparedStatement 向占位符设置值。 自动进行 java 类型和 jdbc 类型转换。 可以有效防止 sql 注入。 可以接收简单类型值或 pojo 属性值。 如果 .
sql#{}与${}的区别
weixin_72766348的博客
08-28 840
{}
mybatis 07: sql标签 “#{}“ 和 “${}“ 的作用和比较
Candyz7的博客
08-13 590
Users{id=2, userName='小王', birthday=Thu Jul 12 00:00:00 CST 2001, sex='1', address='芜湖市'}Users{id=2, userName='小王', birthday=Thu Jul 12 00:00:00 CST 2001, sex='1', address='芜湖市'}存在的问题:两条sql语句的结构在本质上是相同的,写两条语句十分冗余,可以采用替换列名的方式进行优化。//获取mybatis动态代理对象。...
sql${}和#{}的区别
liyanfeng的博客
10-27 1470
项目开发过程,在mybaitis框架sql经常需要动态赋值,会出现#{param} 、${param}两种形式。 接下来,我们一起来看一个案例:根据用户的姓名来筛选用户信息,其用户姓名不确定,是动态变化的,sql如下: select * from userInfo where user_name=“张三”; //查询名称是张三的信息 在xml select * from userInfo where user_name=#{name} //根据名称动态查询用户信息,#将参数解析成
sql语句 #{}与${}的用法
热门推荐
cmjimmy的博客
08-24 1万+
1介绍 测试 ${} 在没有特殊要求情况下,通常我们使用#{}占位符,有些情况下必须使用${}了解即可 例如:需要动态拼接表名. 下面是模糊查询的应用#{}与${} 下面是错误的使用#{} 下面是正确的方式使用#{}模糊查询 掌握. ...
sql注入介绍与实例操作( #{}和${})
weixin_43005654的博客
04-30 1921
sql注入介绍及实例操作(#{}、${})
#{}与${}区别及#{}为什么可以防止 SQL 注入
weixin_42774617的博客
04-03 1070
MyBatis的#{}之所以能够预防SQL注入是因为底层使用了PreparedStatement类的setString()方法来设置参数,此方法会获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则会在前面加上一个’/'代表转义此符号,让其变为一个普通的字符串,不参与SQL语句的生成,达到防止SQL注入的效果。Mybatis 在处理#̲{}时,会将 sql 的#{…使用#{}可以有效的防止 SQL 注入,提高系统安全性。{}时,就是把${}替换成变量的值。
mybatis动态sql#{}和${}的区别
北城寒冰
04-15 433
(1)#{}表示一个占位符号,通过#{}可以实现preparedStatement向占位符设置值,自动进行java类型和jdbc类型转换,#{}可以有效防止sql注入。#{}可以接收简单类型值或pojo属性值。如果parameterType传输单个简单类型值,#{}括号可以是value或其它名称。 (2)表示拼接sql串,通过{}表示拼接sql串,通过表示拼接sql串,通过{}可以将parameterType传入的内容拼接在sql且不进行jdbc类型转换,可以接收简单类型值或pojo属性值,如果par
sql语句#{}和${}的区别
03-25
的where子语句是什么意思? where子语句是用来限定选择数据的条件,可以筛选数据表符合特定条件的数据。通过where子语句可以使用不同的比较操作符(比如等于、不等于、大于、小于等)和逻辑操作符(比如AND、OR、NOT等)进行多个条件的组合筛选,从而得到满足要求的数据。 示例:SELECT * FROM students WHERE age > 18 AND gender = '男',这条sql语句就是对表students符合年龄大于18岁且性别为男的数据进行筛选。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值