Mybatis (九) Mybatis中的#和$

最新推荐文章于 2024-08-13 07:00:00 发布
最新推荐文章于 2024-08-13 07:00:00 发布
阅读量172 收藏
点赞数
分类专栏: Mybatis 文章标签: Mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ooyhao/article/details/101725964
版权

Mybatis中的# 和 $

文章目录

准备数据库

SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS = 0;

-- ----------------------------
-- Table structure for tb_role
-- ----------------------------
DROP TABLE IF EXISTS `tb_role`;
CREATE TABLE `tb_role`  (
  `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '角色id',
  `role_name` varchar(50) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL COMMENT '角色名称',
  `description` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '角色描述',
  `status` int(1) NOT NULL COMMENT '角色状态,0:启用,1:禁用',
  `create_time` datetime(0) NULL DEFAULT NULL COMMENT '创建时间',
  `create_user` varchar(50) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '创建人',
  `modify_time` datetime(0) NULL DEFAULT NULL COMMENT '修改时间',
  `modify_user` varchar(50) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '修改人',
  PRIMARY KEY (`id`) USING BTREE,
  INDEX `index_role_name`(`role_name`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 1 CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Compact;

-- ----------------------------
-- Records of tb_role
-- ----------------------------
INSERT INTO `tb_role` VALUES (1, 'admin', '超级管理员', 0, '2019-03-01 11:33:09', 'system', '2019-03-05 09:17:41', 'admin');
INSERT INTO `tb_role` VALUES (2, 'develop', '开发人员', 0, '2019-03-01 17:19:55', 'admin', '2019-04-04 10:02:37', 'admin');
INSERT INTO `tb_role` VALUES (3, 'testing', '用于测试人员测试', 0, '2019-03-01 22:14:33', 'admin', '2019-04-04 10:03:05', 'admin');
INSERT INTO `tb_role` VALUES (5, 'guest', '运营', 1, '2019-03-16 10:59:38', 'admin', '2019-04-06 10:46:30', 'admin');
INSERT INTO `tb_role` VALUES (6, 'root', 'root', 0, '2019-09-19 09:46:03', 'admin', '2019-09-19 09:55:25', 'admin');

​ 本案例代码基于前面小节的整合案例,所以此处不再赘述整合代码,如有需要,可以参考前面的SSM整合。

$ 和 # 执行原理

下面我们只讨论#{}与${}的差别.

使用#{}接收参数:

select * from tb_role where role_name = #{roleName}

我们看一下上面sql的打印SQL结果:

使用${}接收参数:

select * from tb_role where role_name = '${roleName}'

对应的SQL执行结果:

如上两个SQL的执行结果,可以看出:

  • #{value} 会进行SQL预编译,即把参数替换成 ?占位符。
  • ${} 只是进行简单的字符串替换。

SQL 注入

百度百科:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令

正是由于上述差别,${}可能会导致SQL注入,下面我们来看一下:

-- 传入参数:a'  or '1' = '1
select * from tb_role where role_name = #{roleName}

执行结果如下,无法找到对应的数据:

而当我们使用${} :

-- 传入参数:a'  or '1' = '1
select * from tb_role where role_name = '${roleName}'

所以,如果使用${} ,可以发现,sql注入是成功的,这样就把数据库中的所有数据,这里只是演示了查询的注入,最多可能会导致数据泄露,如果注入的是更新、删除操作,后果将不堪设想,所以,在这种情况下我们不能使用$ 来接收参数。

说明:我们使用 mybatis 编写 SQL 语句时,难免会使用模糊查询的方法,mybatis 提供了两种方式 #{}${}

  • #{value} 在预处理时,会把参数部分用一个占位符 ? 替代,其中 value 表示接受输入参数的名称。能有效解决 SQL 注入问题
  • ${} 表示使用拼接字符串,将接受到参数的内容不加任何修饰符拼接在 SQL 中,使用${}拼接 sql,将引起 SQL 注入问题。

少不了$

​ 有些人看到前面的 ${} 会导致SQL注入问题,可能会认为,那以后的开发就不再使用 ${}了, 全部使用#{}.正所谓存在就有价值,所以,有些情况,${} 还是需要的使用的。

例如:当我们需要通过参数传递来指定排序字段的时候,我们需要使用${}.

-- 参数:role_name
select * from tb_role ORDER BY #{orderRoleName}

执行结果如下:

我们可以看出使用#{} 并没有进行排序,此时我们将其更换如下:

-- 参数:role_name
select * from tb_role ORDER BY ${orderRoleName}

执行结果:

说明:

如果需要动态的传递查询字段和排序字段等情况,我们需要使用$来进行字符串替换。

select ${orderRoleName} from tb_role ORDER BY ${orderRoleName}

查询结果:

总结:

  • 能使用#{}的地方,尽量使用
  • 如查询字段,排序字段等,则需要使用${}

附:
这里顺带提下防止sql注入的几种方式(可能不止这几种):

  1. (jdbc使用 PreparedStatement代替Statement, PreparedStatement 不仅提高了代码的可读性和可维护性.而且也提高了安全性,有效防止sql注入;
  2. 在程序代码中使用正则表达式过滤参数。使用正则表达式过滤可能造成注入的符号,如’ --等
  3. 在页面输入参数时也进行字符串检测和提交时进行参数检查,同样可以使用正则表达式,不允许特殊符号出现。

部分参考自:https://www.cnblogs.com/weixuqin/p/9522802.html

最后

如果觉得不错的话,那就关注一下小编哦!一起交流,一起学习

在这里插入图片描述

ooyhao
关注
专栏目录
Mybatis $与#的区别
大JAVA解决方案
06-28 202
Mybatis $与#的区别 1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于select id,name,age from student where id ='1'. 2 $是将传入的数据直接显示生成sql语句,eg:select id,name,age from student where id =${id},当前端把id值1,传入到后台的时候,就相当于...
第05篇:Mybatis的SQL执行流程分析
西魏陶渊明的博客
07-09 882
前面我们知道了Mybatis是如何进行代理的, 但是最终 是如何将参数转组装成Sql,并执行处理Sql返回值的地方还都没看到。本篇我们就带着如下三个问题开始我们的探索吧。本篇内容因为涉及跟jdbc的知识,如果对这部分内容有点遗忘,请先JDBC知识复习,另本篇内容知识点较多,目录较复杂,建议根据文字结合 代码在实践的过程一起学习。最好也可以自己debug一下。会收获更大。做好准备现在发车。在组装参数之前我们先来提一个小问题,sql的类型是如何判断的。sql类型有增删该查。 除了查询会有结果集外,其他三种
Java使用MyBatis-Plus操作数据库
zhiwenganyong的博客
02-02 6832
MyBatis-Plus (简称 MP)是一个 MyBatis (opens new window)的增强工具,本文介绍了MyBatis-Plus 的使用。
Mybatis的$和#
sillyyyy的博客
05-08 2658
在SQL语句执行时,Mybatis会将$占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用$占位符可以在某些情况下提高SQL语句的性能,因为在预编译时不需要处理参数占位符。#用于预编译,表示参数占位符,例如:#{username}。在SQL语句执行时,Mybatis会将占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用#占位符可以有效地防止SQL注入攻击,因为Mybatis会将参数值转义后再替换占位符。使用哪种占位符取决于具体的需求,如果需要防止SQL注入攻击,则应该使用#占位符;
Mybatis#和$的区别
伏颜的博客
07-11 1万+
Mybatis#和$的区别
mybatis】 xml的#和$
可乐大牛的博客
08-25 1636
1 #在预编译的时候相当于一个?占位符,而$则是字符串 select * from user where id=#{id} -> select * from user where id=? select * from user where id=${id} -> select * from user where id=“lalal” 2 #能有效防止sql注入 $适合传入一个对象 结论 尽量使用# 而不是$ ...
mybatis#和$的区别
aaaaAyy12的博客
09-04 1万+
mybatis#和$的区别是什么 在mybatis#和KaTeX parse error: Expected 'EOF', got '#' at position 8: 的主要区别是:#̲传入的参数在SQL显示为字符…传入的参数在SqL直接显示为传入的值,$方式无法防止Sql注入。 MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映
MyBatis#{}和${}的区别
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
08-13 5718
MyBatis这个强大的持久层框架,`#{}`和`${}`是两种常见的参数替换方式,它们在SQL语句的使用方式截然不同,并各自具有特定的应用场景和优缺点。
一文解惑mybatis的#{}和${}
一个菜鸡的博客
07-19 5713
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
MyBatis——谈谈占位符(#、$)的理解与使用
热门推荐
★★光亭★★
03-02 3万+
MyBatis——谈谈占位符(#、$)的理解与使用
浅谈Mybatis #和$区别以及原理
08-18
Mybatis,#和$都是占位符,但是它们的作用和处理机制不同。#号将所有传入的参数作为一个字符串来处理,而$号则将传入的参数拼接到SQL语句执行。这两个占位符的使用场景和风险也不同,#号可以防止SQL注入,而$...
mybatis的#和$使用和区别】
学无止境
02-27 873
mybatis的#和$使用和区别】
Mybatis的${}和#{}区别
m0_67402588的博客
09-09 1260
动态 sql 是 mybatis 的主要特性之一,在 mapper 定义的参数传到 xml 之后,在查询之前, mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{}以及${}提示:以下是本篇文章正文内容,下面案例可供参考深知大多数初级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料。
Mybatis#{}和${}的用法
li_w_ch的博客
11-17 1万+
1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。 比如, select * from student where student_name = #{studentName} 如果传入的值为xiaoming,那么解析成sql的值为student_name="xioming"。 2、${}将传入的数据直接显示生成在sql。 如 : select ${fieldNmae} from student where student_age = 18 此时,传入的参数作为要查询的字
JSP学生学籍管理系统设计与实现(源代码+论文+开题报告+外文翻译+答辩PPT).zip
09-21
1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。
省市区数据,完成三级联动,选择地区
09-21
省市区数据,完成三级联动,选择地区
机械原理课程设计网球自动捡球机.doc
最新发布
09-21
机械原理课程设计网球自动捡球机.doc
2024秋招华为笔试题大全-仅供参考具体需要根据实际修改
09-21
2024秋招华为笔试题大全-仅供参考具体需要根据实际修改
借助于Ascend310 AI处理器完成深度学习算法部署任务,
09-21
应用背景为变电站电力巡检,基于YOLO v4算法模型对常见电力巡检目标进行检测,并充分利用Ascend310提供的DVPP等硬件支持能力来完成流媒体的传输、处理等任务,并对系统性能做出一定的优化。.zip深度学习是机器学习的一个子领域,它基于人工神经网络的研究,特别是利用多层次的神经网络来进行学习和模式识别。深度学习模型能够学习数据的高层次特征,这些特征对于图像和语音识别、自然语言处理、医学图像分析等应用至关重要。以下是深度学习的一些关键概念和组成部分: 1. **神经网络(Neural Networks)**:深度学习的基础是人工神经网络,它是由多个层组成的网络结构,包括输入层、隐藏层和输出层。每个层由多个神经元组成,神经元之间通过权重连接。 2. **前馈神经网络(Feedforward Neural Networks)**:这是最常见的神经网络类型,信息从输入层流向隐藏层,最终到达输出层。 3. **卷积神经网络(Convolutional Neural Networks, CNNs)**:这种网络特别适合处理具有网格结构的数据,如图像。它们使用卷积层来提取图像的特征。 4. **循环神经网络(Recurrent Neural Networks, RNNs)**:这种网络能够处理序列数据,如时间序列或自然语言,因为它们具有记忆功能,能够捕捉数据的时间依赖性。 5. **长短期记忆网络(Long Short-Term Memory, LSTM)**:LSTM 是一种特殊的 RNN,它能够学习长期依赖关系,非常适合复杂的序列预测任务。 6. **生成对抗网络(Generative Adversarial Networks, GANs)**:由两个网络组成,一个生成器和一个判别器,它们相互竞争,生成器生成数据,判别器评估数据的真实性。 7. **深度学习框架**:如 TensorFlow、Keras、PyTorch 等,这些框架提供了构建、训练和部署深度学习模型的工具和库。 8. **激活函数(Activation Functions)**:如 ReLU、Sigmoid、Tanh 等,它们在神经网络用于添加非线性,使得网络能够学习复杂的函数。 9. **损失函数(Loss Functions)**:用于评估模型的预测与真实值之间的差异,常见的损失函数包括均方误差(MSE)、交叉熵(Cross-Entropy)等。 10. **优化算法(Optimization Algorithms)**:如梯度下降(Gradient Descent)、随机梯度下降(SGD)、Adam 等,用于更新网络权重,以最小化损失函数。 11. **正则化(Regularization)**:技术如 Dropout、L1/L2 正则化等,用于防止模型过拟合。 12. **迁移学习(Transfer Learning)**:利用在一个任务上训练好的模型来提高另一个相关任务的性能。 深度学习在许多领域都取得了显著的成就,但它也面临着一些挑战,如对大量数据的依赖、模型的解释性差、计算资源消耗大等。研究人员正在不断探索新的方法来解决这些问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值