Mybatis $ 与 # 的区别

最新推荐文章于 2021-04-05 20:07:52 发布
最新推荐文章于 2021-04-05 20:07:52 发布
阅读量104 收藏
点赞数
分类专栏: java 文章标签: java mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q1364557884/article/details/107453636
版权

1. #{} 将传入的数据当成是一个字符串,会在替换的时候加上引号。

select * from user where id = #{id};
select * from user where id = "user-123456789";

解析后的结果会自动带上引号。
同时在某些情况下,就不能使用 #{}
比如 order by,之后只能跟 ${}

2. ${} 会将传入的数据直接放入sql 中

select * from user where id = ${user};
select * from user where id = user-123456789;

虽然是没有引号,但是语句可以执行。
此方式不能防止注入,比如:

select * from user where id = user-123456789 or 1=1;

同时,order by 之后就必须使用 ${}

order by age

3. ${}一般用于传入数据库对象,例如传入表名。能用 #{} 的地方就不要使用 ${}

4. mybatis 中进行动态解析的时候,会将 #{} 解析为 占位符?,会将 ${} 直接进行替换。

#{} 的参数替换是发生在 DBMS(数据库管理系统) 中,而 ${} 则发生在动态解析过程中。

注:优先使用 #{},使用 ${} 需要考虑sql 注入问题。

七月&猪
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
Java Mybatis中的 ${ } 和 #{ }的区别使用详解
08-18
Java Mybatis中的 ${ } 和 #{ } 的区别使用详解 Java Mybatis 中的 ${ } 和 #{ } 是两个不同的占位符,都是用于在 Mybatis 中进行动态 SQL 语句的构建和参数传递。然而,这两个占位符在使用时有着极其重要的区别。 ...
mybatis 中${}和#{}的区别
rodeChen的博客
12-28 116
mybatis ${} 即相当于替换里面的内容,字符串替换,将sql中${} 替换成后面的变量,是没有带引号(’),所以有可能存在sql注入攻击。 mybatis #{} mybatis在处理时,会将其变成?然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号,所以不存在sql注入攻击。 区分应用场景,一般传入 字段的值等用#{},传入的是表名...
7、Mybatis中#和$的区别
m0_53294821的博客
03-09 221
select id,name, email,age from student where id=#{studentId} # 的结果: select id,name, email,age from student where id=? select id,name, email,age from student where id=${studentId} $ 的结果:select id,name, email,age from student where id=1001 String sql
mybatis的${}与#{}的区别
weixin_45467417的博客
05-18 119
什么是sql注入,怎么防止sql注入? 1.sql注入简介 sql注入是比较常见的网络攻击方式之一,他不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过sql语句,实现无账号登录,甚至篡改数据库. 2.sql注入攻击的总体私思路 1.寻找到sql注入的位置 2.判断服务器类型和后台数据库类型 3.针对不同的服务器和数据库特点进行sql注入攻击 3.sql注入攻击实例 1.比如在一个登陆界面,要求输入用户名和密码: 可以通过传入账号为"account":"'1' or '1
mybatis $和#的区别详解
zheng2780071070的博客
01-06 139
#{ }是预编译处理,MyBatis在处理#{ }时,它会将sql中的#{ }替换为?然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号; ${ }是字符串替换, MyBatis在处理${ }时,它会将sql中的${ }替换为变量的值,传入的数据不会加两边加上单引号。 如:select id,name,age from s...
Mybatis #和$区别以及原理
热门推荐
张井天的博客
06-04 4万+
总结: #可以防止Sql 注入,它会将所有传入的参数作为一个字符串来处理。 $ 则将传入的参数拼接到Sql上去执行,一般用于表名和字段名参数,$ 所对应的参数应该由服务器端提供,前端可以用参数进行选择,避免 Sql 注入的风险 为什么? 为什么 # 和 $ 的作用不同,Mybatis 对他们做了哪些惨无人道的处理,我们看一下下面的例子,并追踪一下源码总结。 示例代码: 创建一个 tb...
浅谈mybatis中的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis中的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Mybatis 中$与#的区别
u012102536的博客
08-29 1046
1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'.  2 $是将传入的数据直接显示生成sql语句,eg:select id,name,age from studen
mybatis中#{}和${}的区别
qq_37776015的博客
05-07 5177
本章节主要讲解mybatis中#{}和${}的区别 首先我们先通过代码事例查看下二者的区别: 在EmployeeMapper接口中有这么一个方法: Employee getEmpByIdAndLastName(@Param("id")Integer id, @Param("lastName") String lastName); 在对应的EmployeeMapper.xml 映射文...
Mybatis中的#号与$符号的区别
小泽
04-05 1万+
1、#{变量名}可以进行预编译、类型匹配等操作, 2、#{变量名}会转化为jdbc的类型。 3、${变量名}不进行数据类型匹配,直接替换。 4、#方式能够很大程度防止sql注入。 5、$方式无法方式sql注入。 6、$方式一般用于传入数据库对象,例如传入表名。 7、尽量多用#方式,少用$方式。 8、#会自动加双引号,$不会加双引号 这两个符号在mybatis中最直接的区别就是:#相当于对数据 加上 单引号,$相当于直接显示数据(只讨论字符串类型的)。 1、#对传入的参数视为字符串,也就..
mybatis中#{}与${}的区别
zgy_boke的博客
03-28 1924
面试碰到的问题总结如何: #{}: 表示一个占位符号,实现向PreparedStatement占位符中设置值(#{}表示一个占位符?) 自动进行从Java类型到JDBC类型的转换(因此#{}可以有效防止SQL注入). #{}可以接收简单类型或PO属性值,如果parameterType传输的是单个简单类型值,#{}花括号中可以是value或其它名称. ${}: 表示拼接SQL串,通过${}可...
mybatis中#和$在使用上有哪些区别
hefk688的博客
09-08 4142
mybatis中#和$的区别是什么 1、传入的参数在SQL中显示不同 #传入的参数在SQL中显示为字符串(当成一个字符串),会对自动传入的数据加一个双引号。 例:使用以下SQL select id,name,age from student where id =#{id} 当我们传递的参数id为 "1" 时,上述 sql 的解析为: select id,name,age from student where id ="1" $传入的参数在SqL中直接显示为传入的值 例:使用以下SQL select id,n
Java && 和 || 优先级
七月与雪的博客
09-09 1万+
Java 先执行 &&, 在执行 || 。不是按照从左到右执行。 boolean b = true || false && false; System.out.println(b); 上述代码输出结果为 true。 情况一:从左到右执行 true || false = true true && false = false 最后输出结果为 false,与实际不符 情况二:先&&,后 || false && false = fa
Java 抽象类和接口
七月与雪的博客
08-23 329
抽象类 抽象类 与 普通类 抽象类的 成员变量,成员函数,构造函数都与普通类一致。 除了: 抽象类有 abstract 修饰。 抽象类不可以实例化对象。 抽象类可以有抽象方法。 抽象方法不能有方法体,只能在非抽象子类中实现。 抽象方法 abstract 修饰的方法是抽象方法。抽象方法没有实现,需要在子类中实现。 public abstract void test(); 抽象类可以没有抽象方法,但是有抽象方法的一定是抽象类。 一个类只能继承一个抽象类 接口 接口是一种抽象类型,是抽象方法的集合,以 in
java int 与 integer
七月与雪的博客
05-25 158
int int 是 java 基本数据类型。其他的还有:boolean,byte,short,char,int,float,double,long。 integer integer 是 int 对应的包装类。实际 integer 是引用类型,一个对象。integer 存储的是引用对象的地址。 区别 int 是 java 的一种基本数据类型,而 integer 是 int 的包装类 int 不需要通过 new 来创建,integer 需要 [注] integer 必须要实例化之后,才能够使用,而 int
Java i++ 与 ++i
七月与雪的博客
08-18 125
i++ 与 ++i 的区别是: i++ 先把 i 拿出来用,在+1。 ++i 先+1,在把 i 拿出来用。 int m = 5; int n = 5; System.out.println(m++); // 5 System.out.println(m); // 6 System.out.println(++n); // 6 System.out.println(n); // 6 i-- 与 --i 同理 ...
Mybatis中$与#的区别, $的应用场景
最新发布
04-23
Mybatis中$和#都用于动态SQL语句中的参数绑定,但它们之间有几个区别: 1. #用于预编译,$用于值传递。#会将参数放入预编译语句中的占位符中,可以避免SQL注入,但会使SQL语句无法重用;$将参数直接拼接进SQL中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值