mybatis中#与$的区别

最新推荐文章于 2023-02-28 12:52:00 发布
最新推荐文章于 2023-02-28 12:52:00 发布
阅读量245 收藏
点赞数
分类专栏: java 文章标签: mybatis mysql sql 算法 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67393295/article/details/126584138
版权

MyBatis中使用parameterType向SQL语句传参,parameterType支持的类型可以是基本类型int,String,HashMap和java自定义类型。

在SQL中引用这些参数的时候,可以使用两种方式:

#{parameterName}

${parameterName}

首先,我们说一下这两种引用参数时的区别:

使用 #{parameterName}引用参数的时候,Mybatis会把这个参数认为是一个字符串,并自动加上’',例如传入参数是“zhangsan”,那么在下面SQL中:

 <select id="selectUserByName" resultType="user">
    select * from user where name = #{name}
 </select>

使用的时候就会转换为:

select * from user where name = 'zhangsan'

同时使用${parameterName}的时候在下面SQL中

 <select id="selectUserByName" resultType="user">
    select * from user where name = ${name}
 </select>

就会直接转换为:

select * from user where name = zhangsan

简单说**#{}是经过预编译的,是安全的**。

而**${}**是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入

#{} 这种取值是编译好SQL语句再取值 ${} 这种是取值以后再去编译SQL语句

下面我们用一个实际的例子看看分别使用和是否可以防止SQL注入。

首先是使用#{}:

 <select id="selectUserByName" resultType="user">
    select * from user where name = #{name}
 </select>

传参:

 @Test
    public void selectUserByName(){
        SqlSession sqlSession = MybatisUtil.getSqlSession();
        UserMapper userMapper = sqlSession.getMapper(UserMapper.class);
        String name = "zhangsan or password=111111";
        List<User> users =  userMapper.selectUserByName(name);
        for (User user:users) {
            System.out.println(user);
        }
        sqlSession.close();
    }

结果如下:

现在是使用**${}**:

 <select id="selectUserByName" resultType="user">
    select * from user where name = ${name}
 </select>

传参:

    @Test
    public void selectUserByName(){
        SqlSession sqlSession = MybatisUtil.getSqlSession();
        UserMapper userMapper = sqlSession.getMapper(UserMapper.class);
        String name = "'zhangsan' or password='111111'";
        List<User> users =  userMapper.selectUserByName(name);
        for (User user:users) {
            System.out.println(user);
        }
        sqlSession.close();
    }

结果如下:

很明显,使用**${}**将参数拼接后在编译成SQL语句,不能防止SQL注入,查询出了有关password=111111的额外信息,这是很危险的。

Mybatis中的#{}用于传递查询的参数,用于从dao层传递一个string参数过来(也可以是其他参数),select * from 表名 order by age=#{age}

Mybatis会把这个参数转换成一个字符串。select * from 表名 order by age=“age” 相当于jdbc中的预编译,安全。

而${}一般用于order by的后面,Mybatis不会对这个参数进行任何的处理,直接生成了sql语句。例:传入一个年龄age的参数,select * from 表名 order by ${age}

Mybatis生成的语句为 select * from 表名 order by age Mybatis不会对$传递的参数做任何处理,相当于jdbc中的另外一种编译方式。

总结:一般我们使用#{},不使用${}

原因:

会引起sql注入,${}会直接参与sql编译。会影响sql语句的预编译。

引自:https://www.cnblogs.com/PoetryAndYou/p/11622334.html

m0_67393295
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis#{}与${}的区别使用详解
08-19
主要介绍了Mybatis#{}与${}的区别详解,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
MyBatis#号与美元符号的区别
08-31
#{变量名}可以进行预编译、类型匹配等操作,#{变量名}会转化为jdbc的类型。很多朋友不清楚在mybatis#号与美元符号的不同,接下来通过本文给大家介绍两者的区别,感兴趣的朋友参考下吧
Mybatis#$区别
伏颜的博客
07-11 1万+
Mybatis#$区别
MyBatis#{}和${}的区别
m0_67683346的博客
02-28 4472
MyBatis#{}和${}的区别
Mybatis${}和#{}区别
web18484626332的博客
08-02 8540
动态sql是mybatis的主要特性之一,在mapper定义的参数传到xml之后,在查询之前,mybatis会对其进行动态解析。mybatis为我们提供了两种支持动态sql的语法#{}以及${}提示以下是本篇文章正文内容,下面案例可供参考。...
Mybatis#{}和${}的区别是什么?
whitek387的博客
07-30 1194
原文链接,讲的很细!!!!! 动态 sql 是 MyBatis 的主要特性之一,在 mapper 定义的参数传到 xml 之后,在查询之前 MyBatis 会对其进行动态解析。MyBatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 面试题:#{}和KaTeX parse error: Expected 'EOF', got '#' at position 13: {}的区别是什么? 1)#̲{}是预编译处理, {}是字符串替换。 2)MyBatis在处理#{}时,会将SQL
浅谈mybatis#$区别
09-02
下面小编就为大家带来一篇浅谈mybatis#$区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Mybatis#{}和${}传参的区别#$区别小结
09-02
主要介绍了Mybatis#{}和${}传参的区别#$区别小结 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
浅谈Mybatis #$区别以及原理
08-18
主要介绍了浅谈Mybatis #$区别以及原理,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Mybatis#号与$符号的区别
小泽
04-05 1万+
1、#{变量名}可以进行预编译、类型匹配等操作, 2、#{变量名}会转化为jdbc的类型。 3、${变量名}不进行数据类型匹配,直接替换。 4、#方式能够很大程度防止sql注入。 5、$方式无法方式sql注入。 6、$方式一般用于传入数据库对象,例如传入表名。 7、尽量多用#方式,少用$方式。 8、#会自动加双引号,$不会加双引号 这两个符号在mybatis最直接的区别就是:#相当于对数据 加上 单引号,$相当于直接显示数据(只讨论字符串类型的)。 1、#对传入的参数视为字符串,也就..
mybatis#$在使用上有哪些区别
hefk688的博客
09-08 4128
mybatis#$区别是什么 1、传入的参数在SQL显示不同 #传入的参数在SQL显示为字符串(当成一个字符串),会对自动传入的数据加一个双引号。 例:使用以下SQL select id,name,age from student where id =#{id} 当我们传递的参数id为 "1" 时,上述 sql 的解析为: select id,name,age from student where id ="1" $传入的参数在SqL直接显示为传入的值 例:使用以下SQL select id,n
Mybatis $#区别
u012102536的博客
08-29 1038
1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'.  2 $是将传入的数据直接显示生成sql语句,eg:select id,name,age from studen
mybatis#$区别
smalloneperson的博客
01-15 304
#相当于对数据 加上 双引号,$相当于直接显示数据   1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql。如:order by $
mybatis#$区别
热门推荐
灰太狼
03-22 2万+
mybatis接口mapper文件引用传入的参数是通过#{param}或者${param}来使用的。1.数据类型匹配#:会进行预编译,而且进行类型匹配$:不进行数据类型匹配2.实现方式 #:用于变量替换$:实质上是字符串拼接3.#$的使用场景(1)变量的传递,必须使用#,使用#{}就等于使用了PrepareStatement这种占位符的形式,提高效率。可以防止sql注入等等问题。#方式一般用...
MyBatis#号和$号的区别
Guo_Programmer的博客
06-18 3741
MyBatis$号和#号的区别详解
mybatis 绑定参数不带引号(${}与#{}的区别
请赐教
10-27 954
${} 是直接覆盖,不会自己添加引号,适用于int等类型。 #{}是传字符串过来,自带引号。
mybatis$#区别
y41992910的博客
09-21 2727
在mybatsi${}会直接取值为string,直接写在SQL#{}会表现为在SQL一个占位符,然后取参数对应的值进行填充SQL ${}在动态解析的时候,会将我们传入的参数当做String字符串填充到我们的语句,就会变成下面的语句 1.使用${}取值。会直接拼接到SQL,而不会作为占位符 &lt;!-- foreach实现动态update 这一节主要介绍当参数类型是...
Mybatis # 与$的区别
最新发布
09-23
与传统的JDBC相比,Mybatis提供了更简洁、灵活的方式来执行SQL语句并映射数据到Java对象Mybatis的核心思想是将SQL语句与Java代码进行分离,通过使用XML或注解来描述SQL语句的编写和映射规则。这样可以使得SQL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值