Mybatis 中使用 ${}和使用#{}

于 2023-04-07 16:22:17 发布
阅读量145 收藏
点赞数
文章标签: mybatis java sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_69804655/article/details/130015134
版权

#{}:1.传入的参数在 SQL 中显示为字符串。2.方式能够很大程度防止 sql 注入

${}:1.传入的参数在 sql 中直接显示为传入的值。2.方式无法防止 Sql 注入。

1、使用 #{}

Mybatis 在对 #{}进行预处理时,会把 #{}处理成占位符,实际执行的时候才会把参数替换进去,相当于 jdbc 的 PreparedStatement。

<select id="select" parameterType="java.lang.String" resultType="baseMap">
    select * from user where name = #{name}
</select>

上面这个配置实际打印出来的 sql 为

select * from user where name = ?

这就告诉 MyBatis 创建一个预处理语句(PreparedStatement)参数,在 JDBC 中,这样的一个参数在 SQL 中会由一个“?”来标识,并被传递到一个新的预处理语句中,就像这样:

// 近似的 JDBC 代码,非 MyBatis 代码...
String selectPerson = "select * from user where name = ?";
PreparedStatement ps = conn.prepareStatement(selectPerson);
ps.setString(1,name);

这样有效的预防了 sql 注入。

2、使用 ${}

<select id="select" parameterType="java.lang.String" resultType="baseMap">
    select * from user where name=${name}
</select>

上面这个配置实际打印出来的 sql 为

select * from user where name = name

// 近似的 JDBC 代码,非 MyBatis 代码...
String selectPerson = "SELECT * FROM PERSON WHERE ID=?";
PreparedStatement ps = conn.prepareStatement(selectPerson);
ps.setInt(1,id);

${} 则只是简单的字符串替换,在动态解析阶段,该 sql 语句会直接将变量值替换进去,这样就有可能会发生 sql 注入的风险。

3、$和 #区别

1、#{}是一个占位符,${}只是普通传值

2、#{}在使用时,会根据传递进来的值来选择是否加上双引号,因此我们传递参数时一般都是直接传递,不用加双引号;${}则不会,我们需要手动加

3、在传递一个参数时,我们在 #{}中可以写任意值

4、#{}针对 SQL 注入进行了字符过滤,${}则只是作为普通传值,并没有考虑到这些问题

5、#{}的应用场景是为给 SQL 语句的 where 字句传递条件;${}的应用场景是为了传递一些需要参与 SQL 语句语法生成的值

 

程序猿java易
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MyBatis——谈谈占位符(#、$)的理解与使用
胜天半子祁同伟
03-02 2万+
MyBatis——谈谈占位符(#、$)的理解与使用
mybatis什么时候必须要用${}
weixin_42759398的博客
04-06 1543
贤者啊,${}在Mybatis里代表占位符,可以将参数直接放到sql语句。1. 当传递的参数是简单类型(如String、int、double等)时,必须使用${}。希望你能通过Mybatis使用更好地发挥你的能力,达到愿望和目标。2. 在动态SQL语句,如果需要传递参数,则必须使用${}。3. 在使用OGNL表达式传递参数时,必须使用${}。
mybatis #{} 和 ${} 解读及场景 (全网最全易懂)
global_coding的博客
03-14 276
mybatis #{} 和 ${}
#{}与${}的区别
热门推荐
weixin_44863976的博客
09-08 1万+
#{}与${}的区别 区别 1. #{} 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符;而${}仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。 2. #{} 解析之后会将String类型的数据自动加上引号,其他数据类型不会;而${} 解析之后是什么就是什么,他不会当做字符串处理。 3...
mybatis注解动态sql在if标签传入参数用#{}匹配不到参数
qq_53221975的博客
10-03 1109
mybatis注解动态sql在if标签传入参数用#{}匹配不到参数
浅谈Mybatis #和$区别以及原理
08-18
主要介绍了浅谈Mybatis #和$区别以及原理,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
MyBatis使用$和#所遇到的问题及解决办法
09-01
主要介绍了MyBatis使用$和#所遇到的问题及解决办法的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
浅谈mybatis的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Java Mybatis的 ${ } 和 #{ }的区别使用详解
08-18
主要介绍了Mybatis的 ${ } 和 #{ }的区别使用详解,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
主要介绍了Mybatis#{}和${}传参的区别及#和$的区别小结 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
MyBatis#{}占位符与${}拼接符的使用
pan_junbiao的博客
12-02 7296
1、关于#{}占位符 先来看以下的示例,该示例是MyBatisSQL映射配置文件(Mapper配置文件),在该配置使用了#{}占位符。 <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" ...
mybatis空值插入处理
m0_67401153的博客
03-22 865
适用于入参类型为对象的 刚学习完mybatis如何插入空值,现在来总结一下 上面是我的项目,打开测试类,插入空值试一下 上面是我的Mapper文件、实体类和测试类,方法传的是对象类型的,25行是设置姓名的,现在不设置姓名执行一下实体类 控制台报错,不能为映射设置参数,无效的列类型 解决方法:在mapper文件调用的方法设置idbcType,由于我的sName是String类型的,处理空值设置 jdbcType=VARCHAR,这里要注意不同类型设置的jdbaType是不一样的,参考下图 设置结
java 注解使用${}_SpEL 在注解使用
weixin_34406844的博客
03-07 3096
前言SpEL(Spring Expression Language),即Spring表达式语言,是比JSP的EL更强大的一种表达式语言。为什么要总结SpEL,因为它可以在运行时查询和操作数据,尤其是数组列表型数据,因此可以缩减代码量,优化代码结构。个人认为很有用。1 语法说明1.1 SpEL 字面量:整数:#{8}小数:#{8.8}科学计数法:#{1e4}String:可以使用单引号或者双引号作为...
MyBatis之线程优化
11-05 546
  前言   我们的项目存在大量用户同时访问的情况,那么就会出现大量线程并发访问数据库,这样会带来线程同步问题,本章我们将讨论MyBatis的线程同步问题和优化方法。   MyBatis的线程同步问题   MyBatis需要通过SqlSession实现数据库操作,而SQLSession内部的实现需要使用JDBC的Connection连接对象,而Connection对象是非线程安全的,当多个线程同时访问时,就可能出现线程同步的问题。   线程同步的解决方法   我们前面学习过解决线程同步的方法是:锁
java web开发 ,${ }是什么意思?
qq_37358143的博客
08-12 1万+
简单来说,这是EL表达式,表示你从另外一个页面传过来的参数的值,比如你从另外一个页面传了一个name为name,value为value的参数,在本页面写${name }就会显示value,不过这是要在j2ee 5.0的环境下才有,因为j2ee5.0自带el和jstl标签库,而其他则要导入jar包了。 el表达式,它会从page,request,session,application取值。比如:...
mybatits ${}和#{}的区别
王威振的博客
06-23 936
从service 传入参数name=123; select name,id from table where name = #{name}--->解析后select name,id from table where name='123' 而${name} 会被解析成 select name,id from table where name=123; #{}防止了sql
MyBatics整理--#{}和${}的区别
wws_1007的博客
05-30 1090
动态sql是mybatics的主要特征之一,在mapper定义的参数传到xml之后,在查询之前mybatics会对其进行动态解析。mybatics为我们提供了两种支持动态sql的语法:#{}以及${}。#{}和${}在预编译的处理是不一样的。#{}在预处理时,会把参数部门用一个占位符?代替,而${}直接以字符串代替。#{}的参数替换发生在DBMS,而${}则发生在动态解析过程。${}方式...
mybatis #{}与${}的用法,及注意事项
xcc_2269861428的博客
04-11 3247
1、#{}:标识一个占位符,向占位符输入参数,mybatis自动进行java类型和jdbc类型的转换,程序员不需要考虑参数的类型,比如传入字符串,mybatis最终拼接好的sql就是参数两边加单引号${}:标识sql的拼接,通过${}接收参数,将参数的内容不加任何修饰拼接在sql。&lt;select id="findUserById" parameterType="java.util.Map"...
mybatis 的符号使用总结问题
德叔
06-19 1316
第一种写法(1): 一些特殊字符也可用下面的替代符号所代替。 原符号        &lt;        &lt;=      &gt;        &gt;=        &amp;           '             " 替换符号    &amp;lt;    &amp;lt;=   &amp;gt;    &amp;gt;=   &amp;amp;   &amp;apo...
mybatis #和$的区别
最新发布
09-19
MyBatis,${}和#{}都是用来替换参数的符号,但它们有以下几个区别: 1. 功能不同:${}是直接替换参数的值,而#{}是进行预处理,并将参数的值设置到预编译语句。 2. 使用场景不同:通常情况下,我们使用#{}来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值