【JavaEE进阶】 #{}和${}

于 2024-01-27 17:16:46 发布
阅读量2k 收藏 53
点赞数 75
分类专栏: JavaEE进阶 文章标签: java-ee windows java spring mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71731682/article/details/135882452
版权

文章目录

🍃前言

MyBatis参数赋值有两种⽅式,使⽤ #{} 和 ${}进⾏赋值,接下来我们看下⼆者的区别

🌳#{}和${}使⽤

我们先来看一下两者在基础数据类型与string类型下的使用

🚩Interger类型的参数(基础数据类型)

🎈使用#{}

@Select("select * from userinfo where id= #{id}")
List<UserInfo> selectId(Integer id);

我们观察一下我们的打印日志:

在这里插入图片描述

发现我们输出的SQL语句:

select * from userinfo where id= ?

我们输⼊的参数并没有在后⾯拼接,id的值是使⽤ ? 进⾏占位.这种SQL我们称之为"预编译SQL"

🎈使用${}

@Select("select * from userinfo where id= ${id}")
List<UserInfo> selectId1(Integer id);

在这里插入图片描述
可以看到,这次的参数是直接拼接在SQL语句中了.

🚩String类型的参数

使用🎈#{}

@Select("select * from userinfo where username = #{name}")
List<UserInfo> selectId2(String name);

观察打印日志
在这里插入图片描述
结果与上面一样成功返回

使用🎈${}

再使用一下${}

@Select("select * from userinfo where username = #{name}")
List<UserInfo> selectId3(String name);

再次进行打印日志:

在这里插入图片描述

可以看到,这次的参数依然是直接拼接在SQL语句中了,但是字符串作为参数时,需要添加引号 ‘’ ,使⽤ ${} 不会拼接引号 ‘’ ,导致程序报错.

修改代码如下:

@Select("select * from userinfo where username = '${name}'")
List<UserInfo> selectId3(String name);

再次运行
在这里插入图片描述
结果实现正常

从上⾯两个例⼦可以简单看出:

#{} 使⽤的是预编译SQL,通过 ? 占位的⽅式,提前对SQL进⾏编译,然后把参数填充到SQL语句中.

#{} 会根据参数类型,⾃动拼接引号 ‘’ .${} 会直接进⾏字符替换,⼀起对SQL进⾏编译.如果参数为字符串,需要加上引号 ’ ’

参数为数字类型时,也可以加上,查询结果不变,但是可能会导致索引失效,性能下降

🎍#{}和${}区别

#{}和${}的区别就是预编译SQL即时SQL的区别.

🚩#{}性能更⾼

绝⼤多数情况下,某⼀条SQL语句可能会被反复调⽤执⾏,或者每次执⾏的时候只有个别的值不同(⽐如select的where⼦句值同,update的set⼦句值不同,insert的values值不同).

如果每次都需要经过上⾯的语法解析,SQL优化、SQL编译等,则效率就明显不⾏了.

在这里插入图片描述

预编译SQL,编译⼀次之后会将编译后的SQL语句缓存起来,后⾯再次执⾏这条语句时,不会再次编译(只是输⼊的参数不同),省去了解析优化等过程,以此来提⾼效率

🚩#{}更安全(防⽌SQL注⼊)

SQL注⼊:是通过操作输⼊的数据来修改事先定义好的SQL语句,以达到执⾏代码对服务器进⾏攻击的⽅法

原因:由于没有对⽤⼾输⼊进⾏充分检查,⽽SQL⼜是拼接⽽成,在⽤⼾输⼊参数时,在参数中添加⼀些SQL关键字,达到改变SQL运⾏结果的⽬的,完成恶意攻击

接下来我们先看一个sql注入的例子:

注入sql代码: ’ or 1='1

首先我们有以下代码:

@Select("select * from userinfo where username = '${name}'")
List<UserInfo> selectId4(String name);

当我们正常传参数时,代码如下:

@Test
void selectId4() {
    List<UserInfo> list = assignmentMapper.selectId3("陈平安");
    System.out.println(list);
}

正常运行结果如下:
在这里插入图片描述
接下来我们注入sql代码如下:

@Test
void selectId4() {
    List<UserInfo> list = assignmentMapper.selectId3("' or 1='1 ");
    System.out.println(list);
}

再次运行:结果依然被正确查询出来了,其中参数or被当做了SQL语句的⼀部分
在这里插入图片描述
但是呢,我们需要查询的应该是一个人的信息,这里却将所有人的信息给打印了出来。

🚩${}的使⽤场景

从上⾯的例⼦中,可以得出结论:$ {}会有SQL注⼊的⻛险,所以我们尽量使⽤#{}完成查询

既然如此,是不是$ { }就没有存在的必要性了呢?

当然不是.接下来我们看下${}的使⽤场景

🎈排序功能

接下来我们来实现通过传递参数让表实现升序降序排序:

我们先用#{}

@Select("select * from userinfo order by id #{sort}")
List<UserInfo> selectId5(String sort);

当我们进行传参:

@Test
void selectId5() {
    List<UserInfo> list = assignmentMapper.selectId5("asc");
    System.out.println(list);
}

进行启动:
在这里插入图片描述
可以发现,当使⽤ #{sort} 查询时,asc前后⾃动给加了引号,导致sql错误

使用${}就可以避免这种情况:
在这里插入图片描述
除了这个之外,还有表名作为参数时,也只能使⽤ ${}

🎈like查询

同样,like使⽤#{}报错

@Select("select * from userinfo where username = like '%#{key}%' ")
List<UserInfo> selectId7(String key);

把#{}改成$ {}可以正确查出来,但是$ {}存在SQL注⼊的问题,所以不能直接使⽤${}

@Select("select * from userinfo where username = like concat('%',#{key},'%') ")
List<UserInfo> selectId7(String key);

🍀#{}和${}区别总结

  1. #{}:预编译处理,${}:字符直接替换

  2. #{}可以防⽌SQL注⼊,${}存在SQL注⼊的⻛险,查询语句中,可以使⽤#{},推荐使⽤#{}

  3. 但是⼀些场景,#{}不能完成,⽐如排序功能,表名,字段名作为参数时,这些情况需要使⽤${}

  4. 模糊查询虽然${}可以完成,但因为存在SQL注⼊的问题,所以通常使⽤mysql内置函数concat来完成

⭕总结

关于《【JavaEE进阶】 #{}和${}》就讲解到这儿,感谢大家的支持,欢迎各位留言交流以及批评指正,如果文章对您有帮助或者觉得作者写的还不错可以点一下关注,点赞,收藏支持一下!

遇事问春风乄
关注
  • 75
    点赞
  • 53
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 53
    评论
专栏目录
java$_java字符串参数化符号${}的解析
weixin_32534669的博客
02-12 1564
前言我们在很多地方都能看到代表参数意义的符号${},可能我们在写一些框架的时候,有时候也需要用到这个符号,但他们是如何精确解析的?或者说需要我们自已写的时候,如何写?我们先来看以下的几个场景:1.字符串"a${a}a"2.字符串"a\${a}a"3.字符串"a${a\}a"4.字符串"a${a\}a}a"5.字符串"a${a}a${"6.字符串"a${a}a${a}"以上几个字符串,基本上包括了...
java#{} 和 ${} 的区别?
最新发布
qq_45688811的博客
10-10 1171
需要注意的是,默认情况下,占位符的值被视为字符串。在SpringMyBatis等框架,可以通过设置相关配置来指定占位符的默认类型或执行自定义类型转换逻辑。是Property Placeholder占位符,用于在Java应用程序引用外部属性或配置项的值。是MyBatis框架使用的占位符,也被称为参数占位符。是Spring框架使用的占位符,也被称为属性占位符。来表示一个参数占位符,它将会在SQL执行时被替换为实际的参数值。是MyBatis使用的参数占位符,用于在SQL语句插入参数值。
java字符串${}或者{}等的占位符替换工具类
08-26
今天小编就为大家分享一篇关于java字符串${}或者{}等的占位符替换工具类,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
Java #{} 和 ${} 的含义及区别
荷逸的博客
02-17 1401
#{}是占位符 ${}是拼接符
Java】 字符串{ }占位符替换方面的问题
kinbridge的专栏
01-09 2642
引入依赖 ​​​​​​<dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-text</artifactId> <version>1.8</version> </dependency> public static void main(String[] args) { S...
Java资源 Java学习资料 JavaEE初阶和JavaEE进阶知识
06-21
进入JavaEE进阶阶段,你将需要学习更多高级特性: 1. **Servlet和JSP**:作为JavaEE的基础,学习如何编写Servlet处理HTTP请求,以及使用JSP进行视图层的展示。 2. **MVC设计模式**:理解Model-View-Controller模式...
JavaEE进阶面试总结.xmind
09-12
JavaEE进阶面试总结
JavaEE进阶教程 大学生毕业设计教学,4天全项目实战
03-11
JavaEE进阶教程 大学生毕业设计教学,4天全项目实战
JavaEE进阶教程 大学生毕业设计教学辅助系统,4天全项
03-30
0 6_上传视频原理分析・m p4 02_老师登录之后分页查看视频信息—代码实现mp4 0 4_老师删除视频_代码实现・m p4 0 5_上传视频—页面跳转・m p4 0 3_删除视频原理分析・m p4 20—过滤器实现mp4 01_老师登录之后分页...
JavaEE进阶(29) JDBC连接数据库实现增删改查(使用Dao层实现)-附件资源
03-02
JavaEE进阶(29) JDBC连接数据库实现增删改查(使用Dao层实现)-附件资源
Java)#{}与${}的区别
热爱技术,热爱生活!
12-09 1682
区别 1.#{}解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个#{ }被解析为一个参数占位符;而${}仅仅为一个纯碎的 string 替换,在动态SQL 解析阶段将会进行变量替换。 #{}解析之后会将String类型的数据自动加上引号,其他数据类型不会;而${}解析之后是什么就是什么,他不会当做字符串处理。 #{}很大程度上可以防止SQL注入(SQL注入是发生在编译的过程,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作);而${}主要用于S.
java web开发 ,${ }是什么意思?
爱喝星冰乐的博客
07-30 5304
是EL表达式,表示你从另外一个页面传过来的参数的值,比如你从另外一个页面传了一个name为name,value为value的参数,在本页面写${name }就会显示value,不过这是要在j2ee 5.0的环境下才有,因为j2ee5.0自带el和jstl标签库,而其他则要导入jar包了。 EL表达式,它会从page,request,session,application取值。比如:在requestsetAttribute(“name”,“测试”),那么${name} 就会得到值为测试。 <%=re
Java #{}和${}区别
gcfffff的博客
08-21 1691
Java #{}和${}区别 Mybatis使用#{}可以防止sql注入 #{}: 表示一个占位符号,实现向PreparedStatement占位符设置值(#{}表示一个占位符?),自动进行Java类型到JDBC类型的转换(因此#{}可以有效防止SQL注入).#{}可以接收简单类型或PO属性值,如果parameterType传输的是单个简单类型值,#{}花括号可以是value或其它名称. :表示拼接SQL串,通过:表示拼接SQL串,通过{}可将parameterType内容拼接在SQL而不进行JDB
MySQL之SQL注入
weixin_44867712的博客
02-21 113
#{} 和 ${}区别 #{} -    #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。 -      例如:order by #{parameterName} //或取Map的value#{Key}也是一样操作。 -      假设传入参数是“Smith” -      会解析成:order by “Smith” ${} $将传入的数据直接显示生成在sql。 -      ...
java EL表达式${}详细
程序小酱
11-07 2447
  ${param.name} 等价于 request.getParamter("name") ${requestScope.name} 等价于 request.getAttribute("name")
一个替换java字符串${}或者{}等占位符的工具类
热门推荐
lhever_的博客
08-18 2万+
正如标题所述,这是一个替换java字符串${}或者{}等占位符的工具类,其处理性能比较丽令人满意。该类主要通过简单的改写myatis框架的GenericTokenParser类得到。在日常开发过程,可以该类进行简单的改进或封装,就可以用在需要打印日志的场景,现在张贴出来给有需要的人,使用方式代码已经有示例,不在赘述!
Java #{}和${}的区别是什么?
qq_41806546的博客
04-03 3679
#{}是预编译处理,${}是字符串替换。 Mybatis 在处理#{}时,会将 sql 的#{}替换为?号,调用 PreparedStatement 的 set 方法来赋值; Mybatis 在处理时,就是把{}时,就是把时,就是把{}替换成变量的值。 使用#{}可以有效的防止 SQL 注入,提高系统安全性。 ...
经典JavaEE和轻量级JavaEE
07-25
经典JavaEE和轻量级JavaEE是两种不同的Java企业级开发框架。 经典JavaEEJava Enterprise)是指传统的Java企业级开发框架,它提供了一套完整的解决方案,包括EJB(Enterprise JavaBeans)、JPA(Java Persistence API)、JMS(Java Message Service)等组件。经典JavaEE框架通常比较庞大、重量级,适用于大型企业应用的开发,但由于其复杂性和学习曲线较高,也存在一定的开发和部署成本。 轻量级JavaEEJava EE MicroProfile)是一种更加轻量级、灵活的Java企业级开发框架。它是在JavaEE基础上进行精简和优化而来的,专注于构建云原生应用和微服务架构。轻量级JavaEE框架通常包括一些轻量级的组件和规范,如JAX-RS(Java API for RESTful Web Services)、CDI(Contexts and Dependency Injection)等,以及对容器化和云原生的良好支持。相比于经典JavaEE,轻量级JavaEE更加容易上手和使用,适用于小型应用和快速开发。 总的来说,选择使用经典JavaEE还是轻量级JavaEE取决于应用的规模和需求。如果是大型企业级应用,涉及到复杂的业务逻辑和高并发处理,经典JavaEE可能更适合;而对于小型应用或者注重敏捷开发和部署的场景,可以考虑使用轻量级JavaEE框架。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 53
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

遇事问春风乄

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值