Mybaits 传入参数时带引号(#{parameter})与不带引号(${parameter})的两种写法

已于 2023-04-13 11:40:26 修改
阅读量4.2k 收藏 2
点赞数 2
分类专栏: mybatis接收参数的两种方式 文章标签: mybatis sql
于 2021-05-13 16:28:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/piscesl6/article/details/116755109
版权

MyBatis 传入参数时的两种方式:

#{parameter} 本质是占位符赋值,${parameter}是字符串拼接,会造成SQL注入;

方式一: 接收的参数会包含引号,mybatis写法: #{parameter}

方式二:接收的参数直接拼接在SQL 中,不会自动添加引号,mybatis写法:${parameter}

方式二通常用于在SQL中直接拼接语句:比如动态拼接 order by  ${parameter}

mybatis 中若mapper接口方法的参数为单个的字面量类型,则可以通过#{}和${}以任意的内容获取参数值,一定要注意${}的单引号问题

<select id="getUserByName" resultType="User">
    select * from user where id=#{hahah}
</select>

mybatis 中 若mapper接口方法的参数为多个字面量类型:
    此时Mybatis 会将参数放在map集合中,以两种方式存储数据
    (1)    arg0、arg1
    (2)   param1 、param2

<select id="checkLoginUser" resultType="User">
    select * from user where username=#{arg0}   and password=#{arg1}
    select * from user where username=#{param1} and password=#{param2}
</select>
流星雨洒满天空
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
mybaits反向工程
10-25
mybaits反向工程mybaits反向工程mybaits反向工程mybaits反向工程mybaits反向工程mybaits反向工程mybaits反向工程
mybatis foreach 错误_MyBatis 动态SQL where/if/choose/bind介绍
weixin_39541189的博客
11-28 193
当我们需要写复杂的 SQL 语句,往往需要拼接,而拼接 SQL ,稍微不注意,由于引号,空格等缺失可能都会导致错误。  那么怎么去解决这个问题呢? 我们可以使用mybatis的 动态SQL,通过 if, choose, when, otherwise, trim, where, set, foreach等标签,可组合成非常灵活的SQL语句,从而在提高 SQL 语句的准确性...
mybatis两种传参方式#{}和¥{}原理
laughitover
08-28 5443
之前没注意,最近公司测试提了个bug, 问题:输入框输入单引号会报错, 原因:单引号截断了sql 总结:#{}速度快,能防止sql注入,是占位符方式,先预编译,然后填充参数,字符串格式,相当于填空题 用户名=(___),参数只是下划线上的内容           ${}是直接拼接到语句上,执行语句,对于上面那道填空题 ,这种方式需要自己拼括号和参数,但是也可以拼接想执行的任何语句,也就是
单引号 vs 双引号:在MyBatis条件判断的选择困境
最新发布
程序和我有一个能跑就行了
03-23 1464
MyBatis的条件判断,使用单引号或双引号来判定字符串类型数值的坑…
Mybatis 的传递参数深入
南淮北安的博客
04-30 2949
文章目录一、基本概念二、传递 pojo 包装对象三、resultMap 一、基本概念 已经知道SQL语句传参,是使用标签的 parameterType 来设定参数的具体类型,这个取值可以是基本类型(int),引用类型(string)还可以是实体类型(pojo或称为JavaBean),同时也可以使用实体类的包装类 需要注意的是: 基 本 类 型 和 String 我 们 可 以 直 接 写 类 型 ...
Mybatis现学现用
12-16
以最短的时间学会Mybatis,并使用到项目,包括搜集的很多资料;很全很全:并且有项目实例 例如:mybatis的#和$的区别? 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sql为order by id.    3. #方式能够很大程度防止sql注入。    4.$方式无法防止Sql注入。 5.$方式一般用于传入数据库对象,例如传入表名.    6.一般能用#的就别用$. MyBatis排序时使用order by 动态参数时需要注意,用$而不是# 字符串替换 默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用: ORDER BY ${columnName} 这里MyBatis不会修改或转义字符串。 重要:接受从用户输出的内容并提供给语句不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。
mybatis 绑定参数不带引号(${}与#{}的区别)
Bejpse的博客
08-22 3788
默认情况下,使用#{}参数语法时,MyBatis 会创建PreparedStatement参数占位符,并通过占位符安全地设置参数(就像使用 一样)。这样做更安全,更迅速,通常也是首选做法,不过有时你就是想直接在 SQL 语句直接插入一个不转义的字符串。当 SQL 语句的元数据(如表名或列名)是动态生成的时候,字符串替换将会非常有用。提示用这种方式接受用户的输入,并用作语句参数是不安全的,会导致潜在的 SQL 注入攻击。其${column}会被直接替换,而#{value}会使用预处理。
mybatis参数详解、#{}与${}
weixin_44051048的博客
06-16 701
mybatis传入多个参数的4个解决方法 问题引入 想必大家可能遇到过类似的错误,当传入多个参数时,映射文件无法获得传入参数 我的例子 // javabean public class User { private int id...
Mybatis学习之参数传递的5种方式
qq_39746820的博客
04-06 1054
Mybatis是一个非常优秀的持久层框架。在开发我们经常遇到参数的传递的情况。很多小伙伴不清楚参数传递的方法以及不知道怎么办怎么用,这里写了5种方式来介绍。希望能对学习Mybatis的小伙伴有所帮助,如果你觉得还行的话那就给个收藏加关注点赞吧,你的支持将是我最大的动力。谢谢。
MyBatis】第三篇:传递参数
u011863822的博客
01-16 1179
本篇就是通过实例演示了mybatis如何传递参数,以及传递参数使用的#{}与${}的不同,同时通过注解@Param进行传递,同时模糊查询
mybatis_parameter使用和常用sql
weixin_33901843的博客
12-18 591
mybatis_parameter使用和常用sql   mybatis_parameter使用和常用sql 在用自动生成工具生成的mybatis代码,总是能看到这样的情况,如下: &lt;select id="selectByExample" resultMap="BaseResultMap" parameterType="com.juhehl.kapu.pojo.TbCardExa...
Mybaits通用的10种写法总结大全
08-26
主要给大家介绍了关于Mybaits通用的10种写法,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
mybaits入门(含实例教程和源码)Java开发Java
11-25
mybaits入门(含实例教程和源码)Java开发Java经验技巧共13页.pdf.zip
MyBaits Plus
03-06
MyBaits Plus
springmvc+mybaits实现分页 查询功能 带数据库
05-13
springmvc+mybaits 做的一个查询列表 以及分页功能 带数据库
mybatis生成代码工具(带注释)
04-11
mybatis生成代码工具(带注释)
MyBatis的#{}和${}的用法
heliuerya的博客
06-15 2473
在实际开发有些数据量非常大,需要分表存储,然后分表查询,比如:日志信息表基本上是每天一张表,现有多张日志信息表:log_20230101、log_20230102、log_20230103…比如:在查询某班全体学生并按照姓名按照升序/降序排列的sql语句,当需要传入关键字asc"或"desc"的时候需要使用${}而不能使用#{},像这种需要传入。先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。的sql语句需要使用${},其它情况需要使用#{},用来防止出现sql注入现象。
MyBatis动态传递参数两种方式#{}和${}
bisal的专栏
10-26 3454
最近做的Java规范更新涉及到MyBatis映射配置文件动态传递参数两种方式#{}和${},两者的区别,(1) #{}为参数占位符?,即SQL预编译。${}为字符串替换,即SQL拼接,...
mybatis String参数sql语句单引号问题
cmomo99d的博客
01-22 3057
如果需要用排序order by,不应该用#{},而是用${} 使用#{}传入是会加单引号 selsect * from ABC where xingbie = #{xingbie} 假设xingbie 为男 上述的语句相当于 selsect * from ABC where xingbie = '男' 使用${}传入就不会
mybaits # $ 区别
06-08
MyBatis,#和$都是用于传递参数的占位符,但它们的使用方式和作用是有所区别的。 - #符号:表示传递参数时使用预编译的语句,并将参数值安全地转义,防止SQL注入攻击。在SQL语句,#号后面的参数会被自动转义为JDBC预编译语句的占位符,即"?"号。这种方式可以保证SQL语句的安全性,但会影响SQL执行的效率,因为每次执行SQL都会进行预编译操作。 - $符号:表示传递参数时使用非预编译的语句,直接将参数值拼接到SQL语句。在SQL语句,$号后面的参数会被直接拼接到SQL语句,不会进行转义或者预编译。这种方式可以提高SQL执行的效率,但会存在SQL注入攻击的风险。 因此,在使用MyBatis进行SQL语句操作时,#符号和$符号的选择需要根据具体情况进行判断。如果需要保证SQL的安全性,可以使用#符号;如果需要提高SQL的执行效率,可以使用$符号。但无论使用哪种方式,都需要注意SQL注入攻击的风险,尽可能采取措施防范。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

流星雨洒满天空

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值