mybatis 中 ${} 和 #{} 的区别,以及转义符

最新推荐文章于 2024-08-06 18:38:54 发布
最新推荐文章于 2024-08-06 18:38:54 发布
阅读量2.6k 收藏 2
点赞数
分类专栏: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qacjava/article/details/82114510
版权

1)#{}表示一个占位符号,通过#{}可以实现preparedStatement向占位符中设置值,自动进行java类型和jdbc类型转换,#{}可以有效防止sql注入。#{}可以接收简单类型值或pojo属性值。如果parameterType传输单个简单类型值,#{}括号中可以是value或其它名称。

 

(2)${}表示拼接sql串,通过${}可以将parameterType传入的内容拼接在sql中且不进行jdbc类型转换,${}可以接收简单类型值或pojo属性值,如果parameterType传输单个简单类型值,${}括号中只能是value。

 

注:

(1)简单类型就是不是自己定义的类型

 

(2)模糊查询:'%${value}%' 不可漏掉单引号

 

mybatis 中的转义符问题:

在mapper  ***.xml中的sql语句中,不能直接用大于号、小于号要用转义字符

解决方法:

 

1、转义字符串

小于号    <    <

大于号    >    >

和    & &

单引号    '    '

双引号    "    "

2、使用<![CDATA[  你的sql语句 ]]>(sql语句中的<where><if>等标签不会被解析)

 如:

 <![CDATA[

        select * from 

      (select t.*, ROWNUM as rowno from tbl_user t where ROWNUM <= #{page.end,jdbcType=DECIMAL}) table_alias

      where table_alias.rowno >#{page.start,jdbcType=DECIMAL}

     ]]>   

触电山猫
关注
专栏目录
新人一看就懂: #{} 和 ${} 的区别
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
MybatisMybatis(> < = >= <=)转义
weixin_45995287的博客
12-08 4573
因为我们在日常代码Mybatis 动态拼接语句时候经常使用到 大于(>,>=)、小于(
Mybatis (大于,小于,不等于)特殊符号总结
最新发布
weixin_43580824的博客
08-06 1368
mybatis是使用的OGNL表达式来进行解析的,在OGNL的表达式,'note'会被解析成字符,因为java是强类型的,char 和 一个String 会导致不等。动态拼接语句时候经常使用到 大于(>,>=)、小于(
Mybatis
03-03 2339
Mybtis
MyBatis 转义符
杨小熊学习笔记
10-09 5239
MyBatis 转义符 在使用MyBatis的时候,在xml的sql语句,不能直接使用大于号,小于号,而需要进行转义。常用的转义为: 原字符 转义后的字符 描述 &amp;lt; &amp;amp;lt; 小于 &amp;lt;= &amp;amp;lt;= 小于等于 &amp;gt; &amp;amp;gt; 大于 &amp;gt;= &amp;amp;
Mybatis】特殊符号与转义字符
慕白Lee的博客
08-21 4698
MyBatis的XML映射文件,由于XML本身的语法限制,需要对某些特殊字符进行转义。这是因为像大于号()和小于号()这样的字符在XML有特殊的意义,分别用于标记元素的结束和开始。如果直接使用这些字符,可能会导致XML解析错误。
Mybatis篇_转义
Binghenpo的博客
09-16 1万+
Mybatis对xml文件写SQL时,有些符号是需要转义的,强制性的。有些是可以转义,但是不强制。 * 只要存在小于"<"是必须要转义的(原因:Mybatis的XML的标签与小于"<"大于">"极其相似,为了区别开来,需要转义,让框架去处理sql)* *在实际开发过程,"<"是必须要转的,如,&lt;(带分号,作为一个整体,写好后会有颜色变化)* “>“不需要转,不转不会错,本着多一事不如少一事的原则,我表示没转过”>”(转的话是&g...
MyBatis使用$和#所遇到的问题及解决办法
09-01
MyBatis,$和#的使用是动态SQL的关键部分,它们决定了参数如何被处理和插入到SQL语句。下面将详细解释这两种符号的差异以及如何解决使用过程遇到的问题。 1. #{}与${}的区别: - #{ }:这是MyBatis的预...
详解Mybatis的 ${} 和 #{}区别与用法
08-18
Mybatis的 ${} 和 #{}区别与用法详解 Mybatis 是一个基于 Java 的持久层框架,它提供了一个简单的方式来进行数据库操作。在 Mybatis ,使用 ${} 和 #{} 两种方式来传递参数,但它们之间有着很大的区别。 ${} ...
MyBatis#{}和${}的区别详解
09-01
MyBatis框架,`#{}`和`${}`是两种不同的占位符,它们各自有不同的用途和特性。了解它们的区别对于编写安全、高效的SQL语句至关重要。 首先,`#{}`是预编译参数的表示方式,它会被MyBatis转化为...
浅谈mybatis的#和$的区别 以及防止sql注入的方法
09-01
MyBatis,`#`和`$`在动态SQL的使用有着明显的区别,它们在处理传入数据的方式上有所不同,同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
HTML及XML语言的转义字符
但愿雨水皆化酒,只恨今生已非人
10-28 1210
<小于号>> 大于号&&和&apos;单引号""双引号
MyBatis——占位符,转义字符,多元素查询(模糊查询),动态sql(多条件多查询,多条件单查询)
prisoneradvance的博客
03-06 1269
占位符
MyBatis 特殊字符转义之TypeHandler 处理器
zhouzhiwengang的专栏
04-27 546
针对上一篇文章MyBatis 特殊字符转义拦截器 针对(_、\、%), 经过自己简单的功能测试,发现所有请求参数为HashMap 的Select查询都进行了特性字符的过滤处理,会导致部分字典查询数据接口因为特殊字符的转换导致数据无法正常查询,进而影响系统的稳定性。 对于上述出现的问题,我这里提出的解决办法是:通过自定义TypeHandler类型处理器,来实现特俗字符的转义处理。 实现核心功能代码: 1、自定义TypeHandler /* * 针对String数据类型的转义器 */ @Mapped.
mybatis 转义符
weixin_34107955的博客
11-21 291
2019独角兽企业重金招聘Python工程师标准>>> ...
Mybatis常用转义符
戴维小熊的博客
07-26 1482
在使用MyBatis的时候,在xml的sql语句,不能直接使用大于号,小于号,而需要进行转义
Mybatis 转义字符用法及说明
热门推荐
csdnlaiyanqi的博客
04-01 2万+
Mybatis 的<![CDATA[ ]]>用法及说明 一、简要概述 1、平时在mybatis的映射文件写sql时,很多时候都需要写一些特殊的字符。例如:"<" 字符 “>” 字符 “>=” 字符 “<=” 字符,但是在xml文件并不能直接写上述列举的字符,否则就会报错。 2、因为在解析xml文件时候,我们如果书写了特殊字符,在没有特殊处理的情况下。这些字符会被转义,但我们并不希望它被转义,所以我们要使用<![CDATA[ ]]>来解决。 3、那为什么要这样书写呢
freemarker特殊字符用noparse转义#{}
feng2036的博客
01-09 1万+
自动生成mapper的时候遇到特殊字符需要转义,特此记录一下 如: &lt;#list mapperDataList as data&gt; #{it.${data.columnName}}, &lt;/#list&gt; 这样会报错 Caused by: freemarker.core.ParseException: Syntax error in template "map...
mybatis的$和#占位符区别,sql注入怎么解决?
06-12
MyBatis的#{}和${}都是用于占位符的,但是它们的作用有所不同。 #{}用于预编译参数,它会将参数值转义后再拼接到SQL语句,可以有效防止SQL注入攻击。 ${}用于拼接SQL语句,它会将参数值原封不动地拼接到SQL语句,如果参数值包含SQL注入攻击的关键字,就会造成安全问题。 因此,为了避免SQL注入攻击,建议尽量使用#{}占位符,并且不要将参数值直接拼接到SQL语句。 如果必须使用${}占位符,可以通过在SQL语句使用转义字符或者使用正则表达式对参数值进行过滤,来防止SQL注入攻击。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值