mybatis中取参数之#{}和${}的区别

最新推荐文章于 2024-07-19 12:37:36 发布
最新推荐文章于 2024-07-19 12:37:36 发布
阅读量176 收藏
点赞数 2
分类专栏: mybatis 文章标签: sql 数据库 mysql mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/main_Scanner01/article/details/120071372
版权

mybatis中取参数之#{}和${}的区别

1、#{属性名}

#{属性名}:预编译的方式,参数的位置是用?代替,参数都是后来预编译后来设置进去的;安全,不会有sql注入问题
默认情况下,使用 #{} 参数语法时,MyBatis 会创建 PreparedStatement 参数占位符,并通过占位符安全地设置参数(就像使用 ? 一样)。 这样做更安全,更迅速,通常也是首选做法,不过有时你就是想直接在 SQL 语句中直接插入一个不转义的字符串。 比如 ORDER BY 子句,这时候你可以:

ORDER BY ${columnName}

select  *  from  t_employee where id =#{id} and empname=#{empName }
--在底层是执行这个sql语句
 Preparing: select * from t_employee where id =? and empname=?

2、${属性名}

${属性名}:不是参数预编译,而是直接和sql语句进行拼串不安全

select  *  from  t_employee where id =#{id} and empname=#{empName }
 Preparing: select * from t_employee where id =? and empname=?

当传入的id='1 or 1=1 or’就会出现sql注入问题
但是${属性名}还是有使用场景的,sql语句只有参数位置是支持预编译的;而查询表的位置是不支持预编译的

 log_2017_12、log_2018_1;查询日志表
                select * from #{} where id=? and empname=?

当使用#{参数名}对查询的表的位置进行预编译的时候会报错
在这里插入图片描述
而使用${属性名}就不会出现错误。
在这里插入图片描述

张三疯学独孤九剑
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis中的#{}和${}的区别
jackzhang1996的博客
03-25 217
mybatis中的#{}和${}的区别 FIRST 首先要搞清楚一个动态解析和预编译。动态解析可以理解为mybatis将mapper中的sql解析为预编译语句可以认识的预编译sql;预编译就是PreparedStatement对sql进行编译,变为DBMS可以直接执行的sql。 SECOND #{}是占位符、防止sql注入,mybatis在动态解析的时候会将#{} 替换为? 然后用Prepared...
mybatis中${}与#{}的区别
osliveandroide的博客
06-20 295
今天在项目中使用easyui传递排序字段进行排序,但是一直无法成功,数据依然是未排序的结果。 if (sort != null && order != null) { String[] sorts = sort.split(","); String[] orders = order.split(","); String orderbys = ""; for (int
MyBatis获取参数值的两种方式#{}和${} 以及 获取参数值的各种情况
weixin_55772633的博客
09-13 1212
SQL 语句中使用 #{},MyBatis 会自动将参数值进行预编译处理,防止 SQL 注入攻击,并且可以处理各种类型的参数(如字符串、数字、日期等)。但是#{}使用占位符赋值的方式拼接sql,此时为字符串类型或日期类型的字段进行赋值时,可以自动添加单引号。使用arg或者param都行,要注意的是,arg是从arg0开始的,param是从param1开始的。因此只需要通过${}和#{}访问map集合的键就可以获取相对应的值,注意${}需要手动加单引号。MyBatis获取参数值的两种方式:${}和#{}
@Value("${属性名}")注解在对象的构造方法中的使用
热门推荐
一代键客的博客
05-31 2万+
      如果需要读取配置文件application.yml 的属性值,只需要在变量上加 @Value("${属性名}") 注解,就可以将配置文件 application.yml 的一个属性值赋值给变量。      如:       但是,如果我们在对象的构造方法中使用这个变量,结果发现这个变量的值为null。       原因是 @Value("${属性名}") 注解是通过对象的set 方法赋...
MyBatis动态传递参数的两种方式#{}和${}
bisal的专栏
10-26 3533
最近做的Java规范更新涉及到MyBatis映射配置文件中动态传递参数的两种方式#{}和${},两者的区别,(1) #{}为参数占位符?,即SQL预编译。${}为字符串替换,即SQL拼接,...
mybatis 只 #{属性名 } 和${属性名 }区别
awodwde的博客
08-25 350
实际上在mybatis中,有两种取值方式: #{属性名 } :是参数预编译的方式,参数的位置都是用?替代,参数都是后来预编译后设置进去的。不会有SQL注入的问题,更安全 下图的解释: SQL语句写成这样,前面是# 后面是$ 时,在console中运行的结果是第二行,注意观察 ${属性名 } :不是参数预编译,而是直接和SQL语句进行拼串;不安全 $的使用场景是什么呢? 在查询表是一个参数的时候,使用#{},会有语法错误,如下图 当改成${}时,成功运行 总结: 一般都是使用#{},因为安全,没有SQ
java 参数处理_9. #{}中的参数处理
weixin_39918128的博客
03-07 212
~~~1.当传递的参数只有一个的时候,mybatis不会做特殊处理。2.当传递多个参数的时候,mybatis会封装一个Map,当前map的key 默认是param1...paramN,取的时候使用key拿到value,也可以通过索引。可以在接口方法中使用@Param注解来直接封装map的key...如果多个参数的话推荐传入POJO,通过#{属性名}来取出。也可以直接在接口声明位置传入一个map集合...
总结--Mybatis传递参数的几种方法
04-28
Mybatis 传递参数的几种方法 Mybatis 中传递参数有多种方法,以下是其中的四种: 1. 传递单个参数Mybatis 中,传递单个参数...Mybatis 传递参数有多种方法,每种方法都有其优缺,选择哪种方法取决于实际情况。
Oracle结合Mybatis实现取表TOP 10条数据
09-09
总结起来,Oracle结合Mybatis实现取表TOP 10条数据的关键在于理解并正确使用`ROWNUM`,以及在Mybatis中适当地处理查询条件和序列值。通过子查询和设置Mybatis的缓存属性,我们可以有效地解决这些问题,从而在Oracle...
MyBatis传入集合 list 数组 map参数的写法
09-02
MyBatis中,处理集合参数如list、array以及map是非常常见的操作。这些参数通常用于构建动态SQL,特别是当需要在`IN`语句中使用多个值时。下面将详细解释如何在MyBatis中使用这些参数类型。 1. **List参数**: 当...
Mybatis传递多个参数进行SQL查询的用法
09-02
在处理多参数查询时,MyBatis提供了多种解决方案,包括通过Map和JavaBean传递参数。下面将详细介绍这两种方法。 ### 1. 通过Map传递多个参数 当需要传递多个参数时,可以使用`Map, Object>`作为方法的参数。在Java...
MyBatis3传递多个参数(Multiple Parameters)
08-18
MyBatis3传递多个参数MyBatis框架中的一种重要特性,它允许开发者在执行数据库查询时传递多个参数,有多种方式可以实现多个参数的传递,本文将详细介绍四种常见的方法。 方法一:使用arg0、arg1、arg2等 在...
简单理解参数引用 ${}和 #{}
Foo
08-01 709
参数的引用有两种常见的方式:${} 和 #{},但是${}存在SQL注入的安全问题。 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 来看一个例子: 在mybatis中,如果使用 ${} 来进行参数引用: <select id="selectUserInfo" parameterType = "java.util.Map" resultMap ="BaseResultMap"> sele
mybatis参数传参、取值处理等
parade岁月的博客
09-17 2032
单个参数:mybatis不会做特殊处理 取值方式:#{参数名} 这里参数名不必与方法的形参名称一致,可以用任意参数名来接受实参 例子:方法:update(Integer id)   sql映射文件取值#{a},这样也可以取到值 多个参数mybatis会做特殊处理,即把多个参数封装成一个map ,key:param1....paramN,value:传入的参数值,#{}就是就是从map...
#{}和${}获取对象参数的异同点
qq_41604862的博客
03-31 787
sql语句中#{}和${}的区别 #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。 如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id” $将传入的数据直接显示生成在sql中。如:order by userid,如果传入的值是111,那么解析成sq...
12、Mybatis中用#{}和${}获取输入参数区别
u010502101的博客
01-14 1910
#{}和${} 都可以从接口输入中的map对象或者pojo对象中获取输入的参数值。例如:<mapper namespace="com.lzj.mybatis.dao.UserDao"> <select id="getUser" resultType="com.lzj.mybaits.bean.User"> select * from users where name=#{na
#、$---参数传递
xylyaya的博客
02-11 983
Mybatis 的Mapper.xml语句中parameterType向SQL语句传参有两种方式:#{}和${} 我们经常使用的是#{},一般来说是因为这种方式可以防止SQL注入,简单的说#{}这种方式SQL语句是经过预编译的,它是把#{}中间的参数转义成字符串。(一般能用#{}就不用${}) 举个例子: select * from student where student_name = ...
#{}多参数如何处理
weixin_30919429的博客
12-25 178
假设我们的sql需要多个参数,例如: <select id="login" resultType="com.zpc.mybatis.pojo.User">   select * from tb_user where user_name = #{userName} and password = #{password} </select> 而我们的函数如下: ...
PostgreSQL异常:An I/O error occurred while sending to the backend
最新发布
IT后浪的博客
07-19 435
在使用PostgreSQL数据库批量写入数据的时候,遇到了一个问题,异常内容如下:Cause: org.postgresql.util.PSQLException: An I/O error occurred while sending to the backend.
使用MyBatis框架 使用#{}取不到数据
05-20
你可以在日志中查看MyBatis生成的SQL语句和参数值,以便进行排查。 3. 数据库连接池出现问题,导致无法正常连接数据库。你可以尝试重启数据库或者检查数据库连接池配置。 4. 数据库中没有数据,或者数据已经被删除...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值