mybatis中的#和$的区别以及mybatis like查询

最新推荐文章于 2023-02-28 12:52:00 发布
最新推荐文章于 2023-02-28 12:52:00 发布
阅读量1.8k 收藏 1
点赞数 1
分类专栏: 数据库
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".
  
2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为order by user_id,  如果传入的值是id,则解析成的sql为order by id.
  
3. #方式能够很大程度防止sql注入。
  
4.$方式无法防止Sql注入。

5.$方式一般用于传入数据库对象,例如传入表名.
  
6.一般能用#的就别用$.


MyBatis排序时使用order by 动态参数时需要注意,用$而不是#


字符串替换
默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用:
ORDER BY ${columnName}
这里MyBatis不会修改或转义字符串。

重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。


mybatis like查询

1.  参数中直接加入%%

  param.setUsername("%CD%");
      param.setPassword("%11%");

	<select  id="selectPersons" resultType="person" parameterType="person">
		select id,sex,age,username,password from person where true 
			<if test="username!=null"> AND username LIKE #{username}</if>
			<if test="password!=null">AND password LIKE #{password}</if>
	
	</select>

2.  bind标签

<select id="selectPersons" resultType="person" parameterType="person">
  <bind name="pattern" value="'%' + _parameter.username + '%'" />
  select id,sex,age,username,password 
  from person
  where username LIKE #{pattern}
</select>

 

 

3. CONCAT

where username LIKE concat(cancat('%',#{username}),'%')

马万明
关注
专栏目录
mybatis,#与$的区别
Top5软件工程硕士,先后在京东、字节从事多年Java后端开发、实时和离线大数据开发
10-29 700
别人老说?不编译#编译,一直稀里糊涂的,不如自己试一下,其实说白了就是#是否编译成?再用传入的参数代替。其实把这些原理用很通俗的语言说给一个新手听,反而说明自己也理解了,而不是一直跟新手说区别就是是否编译...... --正确 WeatherPO weatherPO = weatherDao.queryByAreaIdAndAreaName("101101001", "忻州"); &lt;se...
mybatis的#和$的区别
热门推荐
kobi521的专栏
11-25 11万+
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是111,那么解析成sql时的
Mybatis#和$的区别
伏颜的博客
07-11 1万+
Mybatis#和$的区别
mybatis#和$的区别
灰太狼
03-22 2万+
mybatis接口mapper文件引用传入的参数是通过#{param}或者${param}来使用的。1.数据类型匹配#:会进行预编译,而且进行类型匹配$:不进行数据类型匹配2.实现方式 #:用于变量替换$:实质上是字符串拼接3.#和$的使用场景(1)变量的传递,必须使用#,使用#{}就等于使用了PrepareStatement这种占位符的形式,提高效率。可以防止sql注入等等问题。#方式一般用...
mybatis#{}和${}的区别
weixin_34149796的博客
08-17 2482
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".  2. $将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为orde...
MyBatis#和$区别
你只管努力,
11-25 280
1.#是占位符。 $是用来拼接字符,虽然也是占位但是做不了字符的转换。#自动转换 日常报标识符无效的异常 2.#直接获取属性名称 $首先去获取properties文件的属性名称,没有的话再去对象或者参数找。 3.#占位符 $拼接字符串,容易出现SQL注入。 为什么要引入$符号? 因为当数据库非常大的时候需要进行分库和分表, 数据量大的时候#无法处理 这时候就需要$来处理了。传...
浅谈mybatis的#和$的区别 以及防止sql注入的方法
09-01
MyBatis,`#`和`$`在动态SQL的使用有着明显的区别,它们在处理传入数据的方式上有所不同,同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
mybatis动态sql及#与$的区别及分页和特殊字符的区别
m0_60375943的博客
12-13 331
课程目标 搭建mybatis框架环境 基于ssm逆向工程的使用(IDEA) Mybatis增删改查案例
Mybatis的#和$的区别
qq_27811247的博客
06-22 4万+
在学校的时候,想必大家肯定听老师讲过,在mybatis,配置参数要用#,不要用$符号。因为$不安全,容易被sql注入。讲是这么讲,但是如何注入的,大家一起来看看吧。 一:下面我们写个关于“#”的个sql,看能不能注入。 <select id="selectUser" resultMap="BaseResultMap"> SELECT ...
详解mybatis #{}和${}的区别、传参、基本语法
08-18
首先,需要清楚一点,动态SQL是MyBatis的一个强大特性之一,在mapper定义的参数传到xml之后,在查询之前MyBatis会对其进行动态解析,#{}和${}在预编译的处理是不一样的。 例如:select * from t_user where ...
Mybatis #和$区别
dingqinghu的专栏
05-30 1万+
#号与$区别: #号表示参数,$代表一个字符串。如: select a,b,c from table1 where id=#value#,传入参数后如:value="1", 则可生成:select a,b,c from table1 where id=‘1’。 select a,b,c from table1 where city like '%$value$%',传入参数后: valu
Mybatis $与#的区别
MengW9的博客
09-18 791
一 : mybatis $与# 1.数据类型匹配 #:会进行预编译,而且进行类型匹配 $:不进行数据类型匹配 2.实现方式 #:用于变量替换 $:实质上是字符串拼接 3.#和$的使用场景 (1)变量的传递,必须使用#,使用#{}就等于使用了PrepareStatement这种占位符的形式,提高效率。可以防止sql注入等等问题。#方式一般用于传入添加,修改的值或查询,删除的where条件...
Mybatis #{ } 和 ${ } 区别
weixin_30558305的博客
09-22 113
动态 SQL 是 Mybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。Mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } 和 ${ } 会有不同的表现: select * from user where name = #{name}...
MyBatis # 和 $ 的区别
脚印
01-03 1124
#相当于对数据加上双引号,$相当于直接显示数据 #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sq 时的值为:order by “111”;如果传入的值是id,则解析成的sql为:order by “id” $将传入的数据直接显示生成在sql。如:order by useriduser_iduser...
MyBatis#{}和${}的区别
m0_67683346的博客
02-28 4903
MyBatis#{}和${}的区别
MyBatis$和#的区别
zy103118的博客
03-09 790
MyBatis$和#的区别 0.1322017.08.17 01:59:41字数 439阅读 2,490 动态 SQL 是 mybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } 和 ${ } 会有不同的表现 1.都可以获取对象的属性值,$[name] 和#[name]相同 2.#可以防.
Mybatis模糊查询用#和$什么区别
最新发布
03-28
Mybatis模糊查询可以使用LIKE关键字来实现。在SQL语句使用LIKE关键字可以做到模糊匹配,比如在查询名字包含“张”的用户时,可以使用如下语句: SELECT * FROM users WHERE name LIKE '%张%' 其%表示通配符,表示匹配任意字符,所以'%张%'可以匹配任意包含“张”的名字。在Mybatis的Mapper文件,可以使用${}或#{}来传入查询参数,例如: SELECT * FROM users WHERE name LIKE '%${name}%' 其${name}表示传入的查询参数,使用%进行模糊匹配。需要注意的是使用${}传入参数时,需要注意SQL注入问题。建议使用#{}传入参数并使用预编译语句来避免SQL注入问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值