#{} 与 ${}

最新推荐文章于 2020-10-09 11:31:23 发布
最新推荐文章于 2020-10-09 11:31:23 发布
阅读量3.2k 收藏 12
点赞数 3
分类专栏: MyBatis 文章标签: #{} ${}
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mingyundezuoan/article/details/84669155
版权

#{} 与 ${}

  • 相同:均为 MyBatis xml 文件中的占位符1
  • 不同2
对比内容${}#{}
含义仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符
解析结果不会当做字符串处理,是什么就是什么能够把string类型的在拼接的时候自动加上引号,其他数据类型不加引号
${name}name = zb#{name} name = “zb”
SQL 注入很大程度上防止sql注入
预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译
SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作
特殊场景排序 order by ${}Order by “id” 语法错误
表名动态生成select * from {table_YYYY-MM-dd}Select * from “table” 语法错误
in 查询条件in ${} = in 1,2,3 可行in #{} = in “1,2,3” 不可行,只对第一个字符起作用,需要转为 foreach 集合遍历

  1. Mybatis 中$与#的区别 ↩︎

  2. mybatis中#和$符号的区别 ↩︎

命运的左岸
关注
  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
mybatis #{}和${}的区别是什么
weixin_30895603的博客
04-16 1600
#{}和${}的区别是什么?正确的答案是:#{}是预编译处理,${}是字符串替换。(1)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值。(2)mybatis在处理${}时,就是把${}替换成变量的值。(3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输...
#{} 和 ${} 之间的区别
最新发布
m0_73032444的博客
11-21 66
</span><span class="mord">‘</span><span class="mord cjk_fallback">:这是在许多语言(如</span><span class="mord mathnormal" style="margin-right:0.09618em;">y
#$符号的区别
Jay_unique的博客
12-29 4235
#与KaTeX parse error: Expected 'EOF', got '#' at position 29: … 共同点: #̲和都是用来取值的 参数传递普通类型(基本数据类型和他的包装类。再加一个String) #: 正常发送的sql语句 SELECT * FROM t_student WHERE id=? $: 传递普通类型,它是要报错的,取不到值 参数传...
#$的区别
weixin_44108717的博客
09-21 2884
推荐能使用#就不要使用 $ a.#{ } 1.相当于JDBC中的PreparedStatement ,是经过预编译的,安全 2.会为参数自动拼接引号 3.执行sql效果 select * from user where uid="1" and username="cathy" b.${ } 1.相当于JDBC中的Statement ,未经过预编译,非安全,存在sql注入危险 2.并不会给参数自动...
mybatis中xml文件的${}和#{}区别
rongxue2599的博客
03-23 2305
在项目中要实现所有业务批量提交的功能,实现方式,把表名,表主键字段当做参数传递,在xml文件中全部使用的#{},导致解析的时候出现问题。1.#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".2. $将...
Mabitis中的#$符号区别及用法介绍
08-31
一、`#`与`$`的区别 1. `#{}`:MyBatis将`#{}`视为PreparedStatement的参数标记符。当SQL语句中的`#{}`被解析时,它会被替换为一个问号`?`,成为一个预编译参数。例如,`select * from user where name = #{name};`...
shell脚本中的部分环境变量$0,$?,$!,$$,$*,$#,$@
01-09
在Shell脚本编程中,环境变量扮演着至关重要的角色,它们提供了与系统交互以及控制脚本行为的方法。这里我们将详细探讨在标题和描述中提到的几个特定的环境变量:`$0`, `$?`, `$!`, `$$`, `$*`, `$#`, 和 `$@`。 1....
ibatis中输入输出各种类型的参数分析及#$区别
01-29
ibatis中输入输出各种类型的参数分析及#$区别
nigioubjfugfdg15g4f24w3####$$
02-24
3. **文件传输**:远程控制软件通常集成文件传输功能,使得用户可以方便地在远程与本地设备间交换文件,这对于远程协作和系统维护至关重要。 4. **命令执行**:高级的远程控制软件允许用户在远程主机上执行各种命令...
Shell-特殊变量 $0, $#, $*, $@, $?, $$和命令行参数
01-07
Shell特殊变量:Shell $0, $#, $*, $@, $?...被双引号(” “)包含时,与 $* 稍有不同,下面将会讲到。 $? 上个命令的退出状态,或函数的返回值。一般情况下,大部分命令执行成功会返回 0,失败返回 1。 $$ 当前Shell进
#{}和${}的区别
灵思哑舍
10-09 227
(1)n#{}表示一个占位符号,通过#{}可以实现preparedStatement向占位符中设置值,自动进行java类型和jdbc类型转换,#{}可以有效防止sql注入。#{}可以接收简单类型值或pojo属性值。如果parameterType传输单个简单类型值,#{}括号中可以是value或其它名称。 (2)n${}表示拼接sql串,通过${}可以将par...
mybatis中的两种传参方式#{}和¥{}原理
laughitover
08-28 5458
之前没注意,最近公司测试提了个bug, 问题:输入框中输入单引号会报错, 原因:单引号截断了sql 总结:#{}速度快,能防止sql注入,是占位符方式,先预编译,然后填充参数,字符串格式,相当于填空题 用户名=(___),参数只是下划线上的内容           ${}是直接拼接到语句上,执行语句,对于上面那道填空题 ,这种方式需要自己拼括号和参数,但是也可以拼接想执行的任何语句,也就是
MyBatis中${}与#{}区别
狼行千里吃肉
02-28 1882
MyBatis中${}与#{}区别 #{} 预编译SQL,类似于JAVA的预编译,例如: String sql = "insert into info(name,age) values(?,?)"; PreparedStatement sta = con.prepareStatement(sql); sta.setString(1, “张三”); sta.setInt(2, 10); ...
shell语法之${},``,$(),$(())四种语法含义
zhangxiping
09-03 1万+
##1.${ } 变量、截取、替换 1.获取变量值 ${}获取变量的值,下面例子,定义了变量a,值test [root@zxp1 /opt/script]# a=test [root@zxp1 /opt/script]# echo $a //可以省略{} test [root@zxp1 /opt/script]# echo ${a} test [root@zxp1 /opt/script...
mybatis中的#$的区别
kobi521的专栏
11-25 11万+
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的
mybatis中#{}和${}符号的区别
一叶知秋
11-07 4870
Mybatis的接口映射文件UserMapper.xml、参数传递有2种方式、一种是#{}、另一种是${} 二者有着很大的区别: #{} 实现的是sql语句的预处理参数、之后执行sql中用?号代替、使用时不需要关注数据类型、mybatis自动实现数据 类型的转换、并 且可以防止sql注入 ${} 实现是sql语句的直接拼接、不做数据类型转换。需要自行判断数据类型、不能防止sql注入 总结...
vue使用百度地图----在线地图
热门推荐
ʚ菲菲的博客ɞ
10-09 19万+
Part1 在线地图 1、安装组件 npm install vue-baidu-map --save 2、在main.js中引入组件 import BaiduMap from 'vue-baidu-map Vue.use(BaiduMap, { ak: '**********************' //此处为百度地图秘钥 }); 百度AK秘钥申请地址 3、HTML部分 <div id="baidu_map"> <baidu-ma
mybatis配置文件中的${}和#{}有什么区别?
看不过的黑工坊
06-15 1万+
转自:http://zhidao.baidu.com/link?url=wFu4dsnKG-n2zx7ehfzHTrnGexmizJsXMvX39PmjN6KktYFtPAfcmXs89lR0k85SMkUXmHtfBA7DHOr9UwVQGA39AXmE0a1yDwOiGxvjos3 #{},和 ${}传参的区别如下: 使用#传入参数是,sql语句解析是会加上"",当成字符串来解析,
MyBatis #$的区别
03-31
MyBatis是一种Java持久化框架,它为开发人员提供了一种优雅的方式来访问关系数据库。它将Java对象映射到数据库表中的行,并提供了一种使用XML或注解来编写可重用SQL语句的方法。MyBatis还提供了许多高级功能,如延迟...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值