MyBatis中${} 和 #{} 有什么区别?

最新推荐文章于 2024-04-27 17:30:34 发布
最新推荐文章于 2024-04-27 17:30:34 发布
阅读量5.5k 收藏 51
点赞数 9
分类专栏: Java框架系列 文章标签: java 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72088858/article/details/126845128
版权

${} 和 #{} 都是 MyBatis 中用来替换参数的,它们都可以将用户传递过来的参数,替换到 MyBatis 最终生成的 SQL 中,但它们区别却是很大的,接下来我们一起来看。

1.功能不同

${} 是将参数直接替换到 SQL 中,比如以下代码:

9b59850a93fd4eb08c1df0b641b36bb6.png
最终生成的执行 SQL 如下: 

5224c1bee05d4556973b555f522c49df.png
从上图可以看出,之前的参数 ${id} 被直接替换成具体的参数值 1 了。 而 #{} 则是使用占位符的方式,用预处理的方式来执行业务,我们将上面的案例改造为 #{} 的形式,实现代码如下: 

8117f33d8b9d4ab4a61be660d9282755.png
最终生成的 SQL 如下: 

6e39a73a21f84dbb9a9dfeab749ad273.png 

${} 的问题

当参数为数值类型时(在不考虑安全问题的前提下),${} 和 #{} 的执行效果都是一样的,然而当参数的类型为字符时,再使用 ${} 就有问题了,如下代码所示:

73fef915683a4aa8a32e743a7bb6b0cf.png
以上程序执行时,生成的 SQL 语句如下: 

1213351fdb6b41a18ce3f6710f7275fc.png
这样就会导致程序报错,因为传递的参数是字符类型的,而在 SQL 的语法中,如果是字符类型需要给值添加单引号,否则就会报错,而 ${} 是直接替换,不会自动添加单引号,所以执行就报错了。 而使用 #{} 采用的是占位符预执行的,所以不存在任何问题,它的实现代码如下: 

31b491eeb9d24395884224f861f14825.png
以上程序最终生成的执行 SQL 如下: 

bd729752a5a64f4fa7e348a8b63fd861.png 

2.使用场景不同

虽然使用 #{} 的方式可以处理任意类型的参数,然而当传递的参数是一个 SQL 命令或 SQL 关键字时 #{} 就会出问题了。比如,当我们要根据价格从高到低(倒序)、或从低到高(正序)查询时,如下图所示:

69ae137770bf4b0cb027b7edeb15fc53.png
此时我们要传递的排序的关键字,desc 倒序(价格从高到低)或者是 asc 正序(价格从低到高),此时我们使用 ${} 的实现代码瑞安: 

9c7b6d44237e469cbf47e527ddac67d1.png
以上代码生成的执行 SQL 和运行结果如下: 

a04b8c376d84473fb1ae0916b99b7d10.png
但是,如果将代码中的 ${} 改为 #{},那么程序执行就会报错,#{} 的实现代码如下: 

b7badf6a5b3a4eaca7f05a38b068f6fd.png
以上代码生成的执行 SQL 和运行结果如下: 

7e19dac52d7c4483b799e5b424cf9984.png
从上述的执行结果我们可以看出:当传递的是普通参数时,需要使用 #{} 的方式,而当传递的是 SQL 命令或 SQL 关键字时,需要使用 ${} 来对 SQL 中的参数进行直接替换并执行。 

3.安全性不同

${} 和 #{} 最主要的区别体现在安全方面,当使用 ${} 会出现安全问题,也就是 SQL 注入的问题,而使用 #{} 因为是预处理的,所以不会存在安全问题,我们通过下面的登录功能来观察一下二者的区别。

3.1 使用 ${} 实现用户登录

UserMapper.xml 中的实现代码如下:

ee4d60465c1c44ce8430323707ce46f2.png
单元测试代码如下: 

cf152dc228df444ebbd4d06dfd1e5801.png
以上代码生成的执行 SQL 和运行结果如下: 

fbd71fbe2c864a3da766a54f4f78e7dd.png
从结果可以看出,当我们传入了正确的用户名和密码时,能成功的查询到数据。但是,在我们使用 ${} 时,当我们在不知道正确密码的情况下,使用 SQL 注入语句也能用户的私人信息,SQL 注入的实现代码如下: 

d305be09f7f046ebbbf8122dc07483ef.png
以上代码生成的执行 SQL 和运行结果如下: 

edbb79eb1ff34cca8806e18d477999de.png
从上述结果可以看出,当使用 ${} 时,在不知道正确密码的情况下也能得到用户的私人数据,这就像一个小偷在没有你们家钥匙的情况下,也能轻松的打开你们家大门一样,这是何其恐怖的事情。那使用 #{} 有没有安全问题呢?接下来我们来测试一下。 

3.2 使用 #{} 实现用户登录

首先将 UserMapper.xml 中的代码改成以下内容:

1067f38ca16147958d48b0e16664b2f0.png
接着我们使用上面的 SQL 注入来测试登录功能: 

821acd85b7ca433a825b1884892a91d7.png
最终生成的 SQL 和执行结果如下: 

6149159c624a47c4af6f75b9b0bd1e32.png
从上述代码可以看出,使用 SQL 注入是无法攻破 #{} 的“大门”的,所以可以放心使用。 

总结

${} 和 #{} 都是 MyBatis 中用来替换参数的,它们二者的区别主要体现在:1、功能不同:${} 是直接替换,而 #{} 是预处理;2、使用场景不同:普通参数使用 #{},如果传递的是 SQL 命令或 SQL 关键字,需要使用 ${},但在使用前一定要做好安全验证;3、安全性不同:使用 ${} 存在安全问题,而 #{} 则不存在安全问题。

蜀州凯哥
关注
  • 9
    点赞
  • 51
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Java Mybatis的 ${ } 和 #{ }的区别使用详解
08-18
主要介绍了Mybatis的 ${ } 和 #{ }的区别使用详解,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Mybatis下动态sql##和$$的区别讲解
08-26
今天小编就为大家分享一篇关于Mybatis下动态sql##和$$的区别讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
浅谈mybatis的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
MyBatis#与美元符区别
08-31
#{变量名}可以进行预编译、类型匹配等操作,#{变量名}会转化为jdbc的类型。很多朋友不清楚在mybatis#与美元符的不同,接下来通过本文给大家介绍两者的区别,感兴趣的朋友参考下吧
MyBatis#{}和${}的区别
m0_67683346的博客
02-28 4375
MyBatis#{}和${}的区别
Mybatis的$和#的区别
青衣醉酒
10-27 623
1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'. 2 $是将传入的数据直接显示生成sql语句,eg:select id,name,age from student wher...
Mybatis的${}和#{}区别
web18484626332的博客
08-02 8453
动态sql是mybatis的主要特性之一,在mapper定义的参数传到xml之后,在查询之前,mybatis会对其进行动态解析。mybatis为我们提供了两种支持动态sql的语法#{}以及${}提示以下是本篇文章正文内容,下面案例可供参考。...
mybatis#和$的区别
热门推荐
aaaaAyy12的博客
09-04 1万+
mybatis#和$的区别是什么 在mybatis#和KaTeX parse error: Expected 'EOF', got '#' at position 8: 的主要区别是:#̲传入的参数在SQL显示为字符…传入的参数在SqL直接显示为传入的值,$方式无法防止Sql注入。 MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映
mybatis$和区别
u013803262的专栏
10-10 6896
mybatis$和区别
mybatis #{}和${}的区别
Daryl的博客
02-06 3980
简明的解释: #{}是预编译处理,$ {}是字符串替换(当做占位符来用)。 mybatis在处理#{}时,会将sql的#{}替换为?,调用PreparedStatement的 set方法来赋值; mybatis在处理 $ {} 时,就是把 ${} 替换成变量的值。 使用 #{} 可以有效的防止SQL注入,提高系统安全性。 在某些特殊场合下只能用${},不能用#{}。例如:在使用排序时...
Mybatis $与#的区别
u012102536的博客
08-29 1035
1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'.  2 $是将传入的数据直接显示生成sql语句,eg:select id,name,age from studen
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
主要介绍了Mybatis#{}和${}传参的区别及#和$的区别小结 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
浅谈Mybatis #和$区别以及原理
08-18
主要介绍了浅谈Mybatis #和$区别以及原理,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
mybatisPlus使用MetaObjectHandler对字段进行更新
m0_56356631的博客
04-23 785
都是符合我们的预期的。
java方法重写(重点讲),方法重载
weixin_46281068的博客
04-27 854
一、方法重载定义:一个类,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
string模拟实现
m0_73969414的博客
04-23 1784
c++string的模拟实现,面试必会知识点
Day25-Java基础之常用类1
最新发布
m0_46053885的博客
04-27 853
同时我们发现Math类的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 1048
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
mybatis#{}和${}有什么区别
09-04
### 回答1: MyBatis是一种Java持久化框架,它通过XML或注解的方式将SQL语句与Java对象进行映射,实现了对象与数据库表之间的关系映射。MyBatis不仅能够提供灵活性,而且能够更好地控制SQL语句,减少因SQL执行引起的性能问题,因此在Java开发被广泛使用。 ### 回答2: MyBatis(也称为iBatis)是一个优秀的持久层框架,它主要用于将Java对象与关系型数据库之间进行映射。 在MyBatis,我们首先需要配置一个SqlSessionFactory对象,该对象是整个MyBatis框架的核心。我们需要提供一个包含数据库连接信息、映射文件路径和其他配置项的配置文件,然后通过该配置文件创建一个SqlSessionFactory实例。 使用MyBatis的过程,我们可以编写Mapper接口和Mapper映射文件来定义数据库操作。Mapper接口定义了一系列的方法,每个方法对应一个数据库操作。Mapper映射文件则定义了数据库操作的具体SQL语句和映射关系。 当我们需要使用Mapper接口的方法进行数据库操作时,可以通过SqlSessionFactory获取一个SqlSession对象,然后通过SqlSession对象调用Mapper接口的方法。MyBatis会根据Mapper接口的方法名以及Mapper映射文件的配置信息,动态生成执行对应SQL语句的代码。 MyBatis对数据库操作提供了一系列的注解和标签,以支持动态SQL、事务控制、缓存等功能。同时,MyBatis也提供了一些高级特性,如延迟加载和分页查询等,以方便我们在实际开发进行灵活而高效的数据库操作。 总之,MyBatis是一款功能强大而灵活的持久层框架,它允许开发人员将Java对象与关系型数据库之间建立起映射关系,并且提供了丰富的功能以满足各种数据库操作的需求。无论是简单的查询操作,还是复杂的事务控制,MyBatis都可以帮助我们轻松地完成。 ### 回答3: MyBatis 是一个开源的持久层框架,主要用于简化数据库操作。它提供了一种使用简单的方式来访问数据库,减少了开发人员编写传统的 JDBC 代码的工作量。 MyBatis 的核心思想是将 SQL 语句与 Java 代码分离,通过 XML 或注解的方式对 SQL 进行配置,使 SQL 语句与 Java 代码实现解耦。这样可以方便地修改和调整 SQL 语句,而不影响 Java 代码的编写。 MyBatis 提供了一系列的注解和 XML 标签,可以轻松地完成参数的传递、结果的映射等操作。使用 MyBatis 可以灵活地执行增删改查的操作,并且支持动态 SQL、批处理等功能。 在 MyBatis ,SQL 语句是通过 Mapper 接口与 XML 文件或注解对应的方式实现的。通过定义 Mapper 接口,可以将一系列的 SQL 语句与 Java 代码进行绑定,并通过相应的方法来调用执行。 MyBatis 还提供了强大的缓存机制,可以缓存 SQL 语句的执行结果,从而提高系统的性能。通过在配置文件进行相关设置,可以启用或禁用缓存,并可根据实际需求进行详细的配置。 总的来说,MyBatis 是一个功能强大、灵活易用的持久层框架,适用于各种规模的项目。通过其简化的操作方式和高效的性能,开发人员可以更加方便地进行数据库操作,提高工作效率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

蜀州凯哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值