浅谈一下MyBatis的#{param}和${param}

已于 2024-08-29 11:13:37 修改
阅读量629 收藏 13
点赞数 22
文章标签: mybatis spring java
于 2024-08-29 11:12:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68689130/article/details/141673773
版权

浅谈一下MyBatis的#{param}和${param}

我们都知道,MyBatis是一个很灵活的ORM框架,这其中就离不开#{param}和${param}的使用。但是本文就不谈什么是ORM框架了,大家可以自己了解一下。

但是在讲#{param}和${param}和以前,我要先来谈谈Mysql的预编译技术,我们都知道,当我们的SQL语句发送给MySQL服务器后,MySQL会对我们的SQL语句进行校验、解析等操作。但是很多情况下,我们的SQL语句都是相同的,只是参数有所不同,如果每次都要进行一遍校验、解析等操作,无疑是十分浪费性能的,于是就有了预编译技术。

MySQL 的预编译机制
1. 预编译过程:
  • 当客户端发送一个带有占位符(?)的 SQL 语句(使用 PreparedStatement)给 MySQL 时,MySQL 首先会对该 SQL 语句进行解析、语法检查、优化,然后将其编译为一个执行计划。
  • 这个过程称为“预编译”。之后,预编译的 SQL 语句会被存储在 MySQL 的内部缓存中。
2. 如何缓存和识别已预编译的语句:
  • MySQL 通过维护一个预编译语句缓存来存储已预编译的语句。这个缓存是一个内存结构,用于保存已经预编译过的 SQL 语句及其相应的执行计划。
  • 当一个 SQL 语句(使用占位符的 PreparedStatement)再次执行时,MySQL 会检查这个缓存,看看该 SQL 语句是否已经存在于缓存中。
  • MySQL 根据 SQL 语句的文本和参数结构(不包括具体的参数值)生成一个哈希值。然后,它使用这个哈希值在缓存中查找是否已经存在对应的预编译语句。
3. 缓存命中和重用:
  • 如果缓存中存在该 SQL 的执行计划,称之为“缓存命中”,MySQL 将直接使用缓存中的执行计划,而无需重新解析和编译。这样就大大提高了性能。
  • 如果缓存中没有找到该 SQL 语句的执行计划(“缓存未命中”),MySQL 就需要重新解析和编译该 SQL 语句,然后将新的执行计划存入缓存中。

所以,在有了预编译技术后可以很大的提升SQL语句的执行性能。

MyBatis中#{param}和${param}的区别
  • #{param}(占位符绑定)
    • #{param} 是参数占位符,它会被 MyBatis 转换为使用 PreparedStatement? 占位符,并在执行 SQL 时将参数值绑定到这些占位符。
    • 使用 #{param} 会启用数据库的预编译机制,因为参数的值是在执行时由数据库使用绑定变量进行替换的。
    • 优点:这种方式能够防止 SQL 注入,同时利用数据库的预编译机制提高性能。
  • ${param}(字符串替换)
    • ${param} 会直接将参数的值插入到 SQL 语句中,像字符串拼接一样。这种方式会在 SQL 拼接时将参数的值直接插入到查询中,生成的 SQL 语句不再含有占位符。
    • 由于 ${param} 是直接将值插入到 SQL 语句中,因此它不会使用数据库的预编译机制
    • 风险:这种方式有 SQL 注入的风险,因为参数的值可能包含恶意的 SQL 代码。

所以,也就是说,在使用#{param}的地方,会将对应位置的参数作为一个整体替换掉对应位置的占位符'?'怎么理解这句话呢,比如说下面这条SQL语句

select user_name from user where id = #{userId}

由于使用的是#{},所以会预编译为

select user_name from user where id = ?

如果对应的参数是"1"(1才是参数内容,外面的""只是表示这是一个字符串),那么这条语句最终会变成

select user_name from user where id = '1'

又或者如果对应的参数是 "1;DROP TABLE user;"最终这条语句会变成

select user_name from user where id = '1;DROP TABLE user;'

也就是说,用户输入的参数,会作为一个整体替换掉原来的占位符,其实就是会把用户输入的参数用单引号包成一个整体传进去。

但是如果使用的是${},最终这条语句会变成

select user_name from user where id = 1;DROP TABLE user;

使用${}时会直接将内容拼接到对应的位置,如果是上面这种情况,最终user表会被删除,这其实就是我们所说的SQL注入的风险。

但是,有的情况又只能使用${},比如:

select * from ${tableName} where id = #{id}

假设tableName="user",id="1",那么上面的语句会变为

select * from user where id = '1'

但是如果是#{tableName}

select * from #{tableName} where id = #{id}

最终会变成下面的情况,不能提供MySQL的语法校验,最终会报错。

select * from 'user' where id = '1'

其实我们在使用的时候只要记住,使用#{}时会在参数的整体加上单引号,然后思考一下什么情况加上单引号会出错就好了,然后就是能用#{}的地方尽量都用#{},可以防止SQL注入,同时也会使用到预编译在性能上来说也会比${}更好。

路还长m
关注
MyBatis中的#和$有什么区别
关注我!带你一路 "狂飙" 到底!
02-08 4758
MyBatis是一款优秀的持久层框架,特别是在国内(国外据说还是 Hibernate 的天下)非常的流行,我们常说的SSM组合中的M指的就是MyBatisMyBatis支持定制化SQL、存储过程以及高级映射等多种特性,单纯从代码上来看,MyBatis避免了几乎所有的JDBC代码和手动设置参数以及手动处理结果集。而且MyBatis的使用也非常方便,可以通过简单的XML或注解来配置和映射数据信息。对MyBatis不熟悉的小伙伴,可以私信百泽老师,我们有免费的MyBatis手把手教学视频送给你哦~
myBatis——注解,#{}与${},resultMap的使用
luerdao_的博客
12-07 680
注解开发 注解开发不需要使用mapper.xml文件进行映射 直接绑定类 <mappers> <mapper class="com.luerdao.dao.UserMapper"></mapper> </mappers> @Select("select * from user") List<User> getAllUser(); @Select("select * from user where id =#{id}") User sele
MybatisPlus #{param}和${param}的用法详解
09-08
主要介绍了MybatisPlus #{param}和${param}的用法详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
mybatis 多个接口参数的注解使用方式(@Param)
热门推荐
Homejim的博客
10-09 1万+
1 简介 1.1 单参数 在 Mybatis 中, 很多时候, 我们传入接口的参数只有一个。 对应接口参数的类型有两种, 一种是基本的参数类型, 一种是 JavaBean。 例如在根据主键获取对象时, 我们只需要传入一个主键的参数即可。 而在插入, 更新等操作时, 一般会涉及到很多参数, 我们就使用 JavaBean。 1.2 多参数 但是, 在实际的情况中, 我们遇到类似这样的情况可能: 接口...
MyBatis-@param注解详解
最新发布
zzy7075的专栏
08-15 490
注意:采用#{}的方式把@Param注解括号内的参数进行引用(括号内参数对应的是形参)xml映射的查询字段应该为@Param注解括号内的参数例如上面查询参数应该为id而不是userId,如果xml映射的查询字段不与@Param注解的形参一样则会出现如下异常。paramn,bean时sql语句使用param1.属性值…1.如果接口方法有一个或多个参数,并且使用了@Param注解,若注解的为单一属性则sql语句中的参数用注解的value值,若为bean则sql语句中使用的参数注解的value.bean属性值。
JSP中的${param.属性}用法
学而时习
03-17 3005
众所周知 如id意思是取出某一范围中名称为id的变量,它的取值范围Page,Request,Session,Application。而{id} 意思是取出某一范围中名称为id的变量,它的取值范围Page,Request,Session,Application。 而id意思是取出某一范围中名称为id的变量,它的取值范围Page,Request,Session,Application。而{param....
Mybatis${param}与#{param}有什么区别
回首一辈子
04-16 2200
${param}表达式主要用户获取配置文件数据,DAO接口中的参数信息,当 $ 出现在映射文件的 SQl 语句中时创建的不是预编译的 SQL ,而是字符串的拼接有可能会导致 SQL 注入的问题,所以一般使用 $ 接收 DAO 参数时,这些参数一般是字段名,表名等.例如 order by {column} #{param} 表达式主要是用户获取 DAO 中的参数数据,在映射文件的SQL 语句中出现...
详解mybatis #{}和${}的区别、传参、基本语法
08-18
MyBatis中#{}和${}的区别、传参、基本语法 MyBatis是一个基于Java的持久层框架,它提供了一个强大的SQL映射机制,能够将Java对象与数据库表之间建立映射关系。在MyBatis中,#{}和${}是两个非常重要的符号,它们用于...
浅谈为什么要使用mybatis的@param
08-25
"浅谈为什么要使用mybatis的@param" 在 MyBatis 中,使用 @Param 注解可以给映射器方法中的参数命名,这样可以解决多个参数时的混淆问题。下面我们来详细讲解为什么要使用 @Param 注解。 首先, lets 看一个报错的...
Mybatis_#{param}和${param}的区别
Chill Lyn
12-28 298
#{param} 生成的sql中将该参数使用?占位符替换,预编译后传入实际参数,使用PreparedStatement发送sql ${param}生成sql中将该参数的值直接替换到该位置的,如果是字符串一定要添加’’ 使用${param}时,即使statementType使用PREPARED,也可能出现SQL注入 建议使用statementType="PREPARED"和#{param}组合防止...
关于jsp页面的${param.key} 的用法
skydar的专栏
06-15 6192
描述:param 应该是el表达式中的东西,这种写法一般是可以得到请求的参数的值。 业务场景:现在用到的一个场景,就是前端页面需要登录,但是如何实现就是一个问题,因为后台统一使用了shiro来实现权限管理和控制,那前端如何实现登录呢,并且登录成功后要跳转到之前自己点击要跳转的页面,比如如果是一个商城网站,当我点击我的信息的时候,是需要登录的,但是登录成功后,要跳转的我的信息页面,那么如何实现呢?
在sql中#{param} 、${param}两种形式区别
weixin_43744474的博客
05-26 716
项目开发过程中,在mybaitis框架中,sql经常需要动态赋值,会出现#{param} 、${param}两种形式。,DBMS 不需要再次编译,越复杂的sql,编译的复杂度将越大,预编译阶段可以合并多次操作为一个操作。接下来,我们一起来看一个案例:根据用户的姓名来筛选用户信息,其中用户姓名不确定,是动态变化的,SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。,如果传入的值是18,那么解析成sql时的值为。,如果传入的值是18,那么解析成sql时的值为。
EL表达式相关内容
学习园地
06-20 510
${param.name} 等价于 request.getParamter("name"),这两种方法一般用于服务器从页面或者客户端获取的内容。 ${requestScope.name} 等价于 request.getAttribute("name"),一般是从服务器传递结果到页面,在页面中取出服务器保存的值。
${param.c_id}的使用
helloGirl
11-09 368
${param.c_id} jsp页面接受get请求数据时需要用 ${param.c_id}
${param.xxx}
arashidemember的博客
04-12 1347
${param.???}是用来取请求参数的      1.url传的参数    2.reqest里面的参数  还有session里面的参数
${param.name}和${requestScope.name}的用法
jinchunzhao的博客
08-26 4526
一、${param.name}的用法 用来获取表单中输入的值,一般用来高级检索时,为了用户体验,回显输入框的输入值 与 &lt;%=request.getParameter("cust_name") %&gt; 效果一样 二、 ${requestScope.xxxx} ${sessionScope.xxx} ${applicationScope.xxx} 的用法 精确获...
EL表达式页面传值(${param}和requestScope)
HaiXingCha的博客
05-19 4525
1.对于浏览器地址栏中的地址拼接参数http://localhost:8888/Test/index.jsp?test=123 EL表达式获取 <body> ${param.test} </body> Java脚本获取 <body> <%=request.getParameter("test") %> </body>2.向request作用域赋值<% request.se
el表达式中的${param}与${name}
BuHuiXiangXi的博客
03-20 462
${param.name} 请求参数也就是表单里的数据或者url的参数 则对应取为 request.getParam("name") 而 request.getAttribute("name") 对应取的EL表达试 为 ${requestScope.name}; 即:${param.name} == request.getParam("name")  ${name}
mybatis中#和$的区别
05-31
MyBatis中,#和$都是用来表示SQL语句中的参数占位符,它们的主要区别在于参数的处理方式。 1. #表示的是预编译的SQL语句中的占位符,预编译可以防止SQL注入攻击,提高了SQL语句的安全性。同时,#会将参数值以字符...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值