MyBatis中${}和#{}的区别

最新推荐文章于 2024-08-26 10:43:26 发布
最新推荐文章于 2024-08-26 10:43:26 发布
阅读量383 收藏 10
点赞数 5
分类专栏: JAVA开发+ORM框架-MyBatis 文章标签: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74007708/article/details/135093018
版权 

//${} 是字符串直接替换;${} 存在SQL注入的问题;

//#{} 是预编译处理;而 #{} 不存在SQL注入问题;

一,预编译处理与字符串直接替换

预编译处理

        预编辑处理:是指 MyBatis 在处理 #{} 时,就是把 #{} 替换成了 ?号,使用 PreparedStatement 的 set 方法来赋值。也就是说 #{} 会把 {} 内的整体看成 value ,最后再给 value 加上单引号,重点强调引号内部是一个整体( #{} 不会发生 SQL 注入的根本原因)。

字符串直接替换

        是指 MyBatis 在处理 ${} 时,会把 ${} 替换成变量的值(不会加引号处理)。

模糊匹配

        ${} 可以直接进行模糊查询(但不建议,存在 SQL 注入问题);

        #{} 不可以直接进行模糊查询,但可以通过 mysql 内置函数 concat() 实现模糊查询(不存在 SQL 注入问题);

解释:

当你想输入以下代码时

select * from user where username = '%abc%';

使用#{}会进行预编译,自动加引号处理,于是就变成了

select * from user where username = '%' abc '%';

而用${}时,是直接替换,使用以下代码即可

select * from userinfo where username like '%${key}%'

使用#{}时可以使用concat()方法连接

 select * from userinfo where username like concat('%', '${key}', '%')

排序查询

使用 ${} 可以实现排序查询,而 #{} 不可以实现排序查询,因为使用 #{} 查询时,如果传递的值为 String 就会加单引号,导致 sql 错误。

如果你想输入以下代码:

select * from userinfo order by id desc;

使用#{}会有以下效果:

select * from userinfo order by id ‘desc’

结论:除了模糊匹配,杜绝使用${}

冰冰很社恐
关注
专栏目录
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
MyBatis使用$和#所遇到的问题及解决办法
09-01
MyBatis,$和#的使用是动态SQL的关键部分,它们决定了参数如何被处理和插入到SQL语句。下面将详细解释这两种符号的差异以及如何解决使用过程遇到的问题。 1. #{}与${}的区别: - #{ }:这是MyBatis的预...
mybatis$和#的区别
QQ1817117243的博客
08-26 480
使用来防止 SQL 注入,确保安全性,适用于大多数参数传递的场景。使用来直接拼接字符串,适用于动态 SQL 的构建,但要注意安全风险。
mybatis$和#的区别以及各自的使用场景
2301_77760093的博客
03-14 1635
MyBatis ,$ 和 # 都是用于参数绑定的,但它们之间存在明显的差异,主要体现在参数的预处理方式和安全性上。
mybatis$和#号的区别
cainiaobulan的博客
06-05 2407
这两个符号在mybatis最直接的区别就是:#相当于对数据 加上 单引号,$相当于直接显示数据(只讨论字符串类型的)。 1、#对传入的参数视为字符串,也就是它会预编译,select * from user where name = #{name},比如我传一个aaa,那么传过来就是 select * from user where name = 'aaa'; 2、$将不会将传入的值进...
Mybatis$和#的区别
程序猿老白~的博客
04-16 210
MyBatis处理 #{ } 占位符,使用的 JDBC 对象是PreparedStatement 对象,执行sql语句的效率更高。
mybatis$和#注入的区别
qq_40312909的博客
08-18 274
#会进行预编译以?的形式拼接在sql: $会直接拼接在sql如下: SELECT * FROM xtech_brother_graph_log WHERE action_biz_code = 'teachers_day' and del_flag = "n" and action_type = ? group by target_work_no order by gmt_create desc
Mybatis $与#的区别
大鹏
08-10 1031
1 #是将传入的值当做字符串的形式, eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'. 2 $是将传入的数据直接显示生成sql语句 eg:select id,name,age from student where id =${id},当前端把id值1,传入到后台的时候,就相当于 select id,nam.
mybatis的$和#详解分析
易的博客
04-08 652
MyBatis#{}和${}的作用与区别_陈三千的博客-CSDN博客_mybatis${}有什么用 MyBatis#{}和${}的作用与区别 MyBatis#{}和${}的作用与区别_陈三千的博客-CSDN博客_mybatis${}有什么用 在mybatis#和$的主要区别是:#传入的参数在SQL显示为字符串,#方式能够很大程度防止SQL注入;$传入的参数在SQL直接显示为传入的值,$方式无法防止SQL注入。 1、传入的参数在SQL显示不同 #{} 将传入的参数(数据).
Mybatis $ 和 #千万不要乱用
嘻哈熊的专栏
08-02 820
2、${}: 主要用于获取配置文件数据, DAO 接口的参数信息, 当 $ 出现在映射文件的 SQL 语句时创建的不是预编译的 SQL, 而是字符串的拼接, 有可能会导致 SQL 注入问题. 所以一般使用 $ 接收 dao 参数时, 这些参数一般是字段名, 表名等, 例如 order by {column}。看了上面的区别介绍,相信大家其实都应该知道区别在哪里,我们的问题在哪里,其实就是 sql 在 in 的时候 ,里面的数据被加了两个双引号。所以导致部分数据查不到了。输出后,终于发现了问题在哪里。..
Mybatis $和#
m0_67401228的博客
04-21 229
Mybatis $和#千万不要乱用! 开头 这是一次代码优化过程发现的问题,在功能优化后发现部分数据查不到出来了,问题就在于一条sql上的#和$。 下图为两条sql: 从图上可以看出 wwlr.LabelId in(KaTeX parse error: Expected 'EOF', got '#' at position 33: …wlr.LabelId in(#̲{showLabels}),其…处理的方式是不一样的。 区别 1、#{ }是预编译处理,MyBatis在处理#{ }时,它会将sql
Mybatis#和$的区别
热门推荐
伏颜的博客
07-11 1万+
Mybatis#和$的区别
MyBatis ${}和 #{}的正确使用方法(千万不要乱用)
08-18
MyBatis框架,${} 和 #{} 是两种不同的参数占位符,它们的使用方式和作用有明显的区别,对于SQL语句的安全性和效率有着重要影响。 1. #{} #{} 是预编译处理的方式,也被称为参数绑定或者预处理。在处理 #{ } ...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Java Mybatis的 ${ } 和 #{ }的区别使用详解
08-18
Java Mybatis的 ${ } 和 #{ } 的区别使用详解 Java Mybatis 的 ${ } 和 #{ } 是两个不同的占位符,都是用于在 Mybatis 进行动态 SQL 语句的构建和参数传递。然而,这两个占位符在使用时有着极其重要的区别。 ...
MybatisPlus的LambdaQueryWrapper用法
2301_79693537的博客
08-21 5367
【代码】MybatisPlus的LambdaQueryWrapper用法。
WxParse-微信小程序富文本解析自定义组件,支持HTML和markdown解析.zip
10-04
WxParse-微信小程序富文本解析自定义组件,支持HTML和markdown解析
江苏科技大学在辽宁2020-2024各专业最低录取分数及位次表.pdf
最新发布
10-04
那些年,与你同分同位次的同学都去了哪里?全国各大学在辽宁2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
Chartjs微信小程序改编_Chartjs-wecat-mini-app.zip
10-04
Chartjs微信小程序改编_Chartjs-wecat-mini-app
Mybatis$与#的区别, $的应用场景
04-23
Mybatis$和#都用于动态SQL语句的参数绑定,但它们之间有几个区别: 1. #用于预编译,$用于值传递。#会将参数放入预编译语句的占位符,可以避免SQL注入,但会使SQL语句无法重用;$将参数直接拼接进SQL,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

冰冰很社恐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值