MyBatis使用#{ } or ${}

最新推荐文章于 2024-07-10 14:02:35 发布
最新推荐文章于 2024-07-10 14:02:35 发布
阅读量907 收藏
点赞数
分类专栏: Mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pary_lin/article/details/89153604
版权

Mybatis 的Mapper.xml语句中parameterType向SQL语句传参有两种方式:#{}和${}。常见是使用#{ }来防止SQL注入,这里又设计jdbc的预处理机制

当使用 #{}的时候

  1. 在动态解析的时候, 会解析成一个参数标记符
  2. select * from user where name = #{name,jdbcType=VARCHAR};
  3. mysql 会把它转换成 jdbcType 类型. 属于一个变量值.(在动态解析的时候, 会解析成一个参数标记符)
  4. eg: name = nmnl and 1=1
  5. select * from user where name = 'nmnl and 1=1';

当使用 ${}的时候

  1. 在动态解析的时候,会将我们传入的参数当做String字符串填充到我们的语句中
  2. select * from user where name = ${name};
  3. eg: name = nmnl and 1=1
  4. select * from user where name = nmnl and 1=1;

{} 经过预编译,这种是取值以后再去编译SQL语句

${} 未经过预编译,直接提取变量编译sql语句

JDBC绑定参数时有一个安全机制,它可以准确的将那些需要转义的字符进行转义(escapeprepared statement

闲云野鹤爱咧咧
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis中的#和$的区别
kobi521的专栏
11-25 11万+
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的
详解Mybatis中的 ${} 和 #{}区别与用法
08-18
Mybatis 中,使用 ${} 和 #{} 两种方式来传递参数,但它们之间有着很大的区别。 ${} 和 #{} 的基本概念 在 Mybatis 中,${} 和 #{} 都是用来传递参数的,但是它们的工作方式不同: * ${}:直接将参数值替换到 ...
MyBatis 中 ${}和 #{}的正确使用方法(千万不要乱用)
08-18
主要介绍了MyBatis 中 ${}和 #{}的正确使用方法,本文给大家提到了MyBatis 中 ${}和 #{}的区别,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Java使用 MyBatis-Plus 的 OR
最新发布
李长渊的博客
07-10 1329
Java使用 MyBatis-Plus 的 OR
Mybatis使用
Aimeiyyds的博客
06-04 352
mybatis的入门使用教程
Mybatis 中的insertOrUpdate操作
08-31
Mybatis中,`insertOrUpdate`操作是一种将数据插入数据库,如果存在相同的唯一标识则更新已有数据的方法。这种操作在数据库编程中非常实用,因为它允许开发者以简洁的方式处理增删改查(CRUD)操作。在MySQL中,...
MyBatis中OGNL的使用教程详解
08-30
当在SQL字符串中使用`${}`时,MyBatis使用OGNL解析其中的表达式。例如: ```xml select id,name,... from country != null and name != ''"> name like '${'%' + name + '%'}' ``` 注意,使用...
myBatis or ibatis 神器
09-25
标题中的“myBatis or ibatis 神器”指的是两个知名的Java持久层框架——myBatis和iBatis。这两个框架在Java开发中扮演着重要角色,它们简化了数据库操作,让开发者能够更加专注于业务逻辑,而不是底层的SQL查询。 ...
mybatis使用oracle关键字出错的解决方法
08-29
mybatis使用oracle关键字出错的解决方法 MyBatis是一种非常流行的持久层框架,它提供了大量的便捷功能,帮助开发者快速高效地开发应用程序。然而,在使用MyBatis时,可能会遇到一些问题,例如使用Oracle关键字时...
mybatis使用
long2010110的专栏
06-28 299
一、一对多映射如某一商品规格(颜色)对应多个规格值(如红、黄等),在获取规格的同时返回对应的规格值,但商品规格对象与规格值对象有很多变量定义是相同的。如果直接如下代码<resultMap id="allMap" type="SpecBean"> <id column="spec_id"  property="specId" /> ......  <coll
MyBatis使用
loong_的博客
03-31 203
文章目录一、xml方式使用select标签二、注解方法 一、xml方式 需要 mapper.java(接口文件)和 mapper.xml(配置文件),SQL写在 mapper.xml 文件中 使用select标签 查询操作 <!-- select标签:查询操作 id属性(必须要):statement的id,用于表示定义的SQL,在同一个命名空间中id是不允许重复的,对应接口文件中的方法名 #{XXX}:输入参数的占位符,避免SQL注入 parameterType/pa
2021-10-28
m0_61393328的博客
10-28 179
1.Mybatis案例学习 1.1 简化测试操作 private SqlSessionFactory sqlSessionFactory; /** * 设计思路: * 1.要求每次执行测试方法时 都先生成一个SqlSessionFactory * 2.从sqlSessionFactory中获取sqlSession * 3.完成业务操作 * 注解说明: * @BeforeEach 当每次执行@Test注解方法时,都
Mybatis使用
flybone7的博客
05-23 440
1、mybatis映射xml配置文件报错:<statement> or DELIMITER expected, got ‘id‘ 背景 编写mybatis生成的xml文件时,发现sql节点内报错。 这是IDEA的bug,发生在MyBatis的Mapper的XML文件的sql节点上,第一个字段是什么错误中最后一个单引号内部就是什么。 解决方案 删除方框中的sql/ 永别了,报错 2、mybaits: Cannot resolve symbol BaseResultMap and Base_Co.
mybatis使用
u010796208的专栏
02-03 116
[size=large]mybatis入门 [b]先说下hibernate和mybatis的区别,为什么要使用mybatis hibernate,自动封装,sql自动生成,映射关系自动生成,我觉得hibernate真的很好用 mybatis 需要自动写sql语句,pojo类也需要手动写,目前我没体会到他的好处 官方定义优点是:安全性 (1)hibernate所有的映射关系...
mybatis #,$ 的区别
07-13
MyBatis中,#{}和${}都是用来传递参数的。它们的区别在于#{}是预编译语句,可以防止SQL注入攻击,而${}是直接替换字符串,不能防止SQL注入攻击。因此,为了安全起见,建议使用#{}来传递参数。 具体来说,#{}会把传递进来的参数值替换成一个占位符,并且对占位符进行预编译处理,最终生成一个完整的SQL语句。而${}则直接把传递进来的参数值替换到SQL语句中,没有任何预编译处理。 举个例子,如果我们要传递一个字符串参数name到SQL语句中,可以这样写: 使用#{}:select * from user where name = #{name} 使用${}:select * from user where name = ${name} 如果传递的参数是"Tom' or 1=1 --",那么使用#{}传递参数可以安全地防止SQL注入攻击,而使用${}则会导致SQL注入攻击。因此,在实际开发中,应尽量避免使用${}来传递参数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值