mybatis中#{}与${}的区别以及模糊查询

最新推荐文章于 2024-04-25 15:41:10 发布
最新推荐文章于 2024-04-25 15:41:10 发布
阅读量803 收藏 5
点赞数 3
分类专栏: mybatis学习笔记 文章标签: 数据库 mysql mybatis sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1350975694/article/details/107758152
版权

动态 sql 是 MyBatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 MyBatis 会对其进行动态解析。MyBatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。

#{}和${}的区别

(1) #{}是预编译处理动态解析之后会将传入的变量加上双引号,$ {}是字符串替换不会加双引号。

(2) MyBatis在处理#{}时,会将SQL中的#{}替换为?号,使用PreparedStatement的set方法来赋值;MyBatis在处理 $ { } 时,就是把 ${ } 替换成变量的值。

(3) 使用 #{} 可以有效的防止SQL注入,提高系统安全性。

(4) 使用Preparedstatement的预编译机制。预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。而预编译机制则可以很好的防止SQL注入。在某些特殊场合下只能用${},不能用#{}。例如:在使用排序时ORDER BY ${id},如果使用#{id},则会被解析成ORDER BY “id”,这显然是一种错误的写法。

<select id="selectUser" parameterType="int" resultType="user">
  SELECT id,name,password FROM user WHERE password = #{password}
</select>

假如传入密码为123456,在解析时就会解析成SELECT id,name,password FROM user WHERE password = “123456”(带双引号)

<select id="selectUser" parameterType="int" resultType="user">
  SELECT id,name,password FROM user WHERE password = ${password}
</select>

假如传入密码为123456,在解析时就会解析成SELECT id,name,password FROM user WHERE password = 123456(不带双引号)

使用mysql中mybatis的模糊查询

千万千万不要写成

<select id="selectUser" parameterType="int" resultType="user">
  SELECT id,name,password FROM user WHERE name LIKE "%#{password}%" 
</select>

因为动态解析完之后数据库得到的sql是这样的 SELECT id,name,password FROM user WHERE name LIKE “%“小”%”,毫无疑问这样的sql语句肯定是错误的。

下面这才是正确的写法:

<select id="selectUser" parameterType="int" resultType="user">
  SELECT id,name,password FROM user WHERE name LIKE concat("%",${password},"%") 
</select>

假如传入name为 ,在动态解析之后会变成 SELECT id,name,password FROM user WHERE name LIKE “%小%”,会将数据库中名字中包含 的信息查询出来

concat函数

CONCAT(字串1, 字串2, 字串3, …): 将字串1、字串2、字串3,等字串连在一起。

参考文章:https://www.cnblogs.com/liaowenhui/p/12217959.html

是小D吖
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis#{}与${}的区别详解
08-25
Mybatis#{}与${}的区别详解 Mybatis 的 #{} 与 ${} 是两个不同的占位符号,用于实现动态 SQL,两者的主要区别在于防止 SQL 注入的能力。#{} 能够很大程度防止 SQL 注入,而 ${} 方式无法防止 SQL 注入。 #{} ...
Mybatis Oracle 的拼接模糊查询及用法详解
08-27
Mybatis Oracle 的拼接模糊查询及用法详解 Mybatis 是一个基于 Java 的持久层框架,提供了强大的数据库交互能力,而 Oracle 则是业界最流行的关系数据库管理系统。本文将详细介绍 Mybatis Oracle 的拼接模糊...
Mybatis的#{}和#{}区别,及以模糊查询为例
破折号--的博客
12-04 2375
Mybatis的#{}和#{}区别,及以模糊查询为案例1.#{}与${}可以干什么2.区别1>2>3>    为什么呢?4>3.总结4.模糊查询案例1.使用#{ }进行模糊查询2.使用${ }进行模糊查询 1.#{}与${}可以干什么 Mybatis的Mapper.xml语句parameterType向SQL语句传参有两种方式:       1:#{ }: 可以接收简单类型值或者p
Springboot mybaits 对字符串的模糊查询(不能对数字类型不能直接模糊查询
qq_41950447的博客
02-16 519
然后再mapper.xml用了动态语句来判断传进来的字段是否为空,某个字段为空的话,就不拼接这个字段的模糊查询。实现字段之间的and连接,字段之间为空也可以,那就再前端传值的时候设置默认值defaultValue。对数据库的数据进行模糊查询,字段为字符串类型。#{}里面的的字符串传到sql会加上单引号。${}相当于字符串的拼接。
mybatis - 取值符号:# 和 $的区别
最新发布
pig_ning的博客
04-25 404
mybatis - 取值符号:# 和 $的区别
返回自增id的id值 #{} 和${}的区别 sql语句的比较运算符
weixin_52296931的博客
03-01 805
返回自增id的id值 新增用户的是偶我们都是通过主键自增来完成的,所以不知道怎么查看增加的id值,我们可以喜阳光sql语句来完成返回邢增id值得操作 直接在接口对应的xml文件下面写代码,在mapper 里面 <!--添加用户信息--> <insert id="addUser" parameterType="user" > <!--使用内部的标签selectKey 获取新增用户的id值 resultType 返回值类型指定为int
mybatis # 号和 $ 符的区别
Do Re Mi 的博客
11-22 2072
mybatis#号和$符的区别? 区别 1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'. 使用#可以很大程度上防止sql注入。(语句的拼接) , 为什么#可以防止sql注...
select * from table where id=#{id}id和#{id}是什么意思?
HeZhibro的博客
09-30 1万+
1、id是数据库的字段 2、#{id}是你程序获取的一个参数,例如:#{id}为12 这样就形成了你最终的 SQL语句 select * from userinfo where id=12
MyBatis学习:动态SQL
sssxlxwbwz的博客
02-09 1246
MyBatis 的强大特性之一便是它的动态SQL。 一、if用法: if 标签通常用于WHERE语句,通过判断参数值来决定是否使用某个查询条件,它也经常用于UPDATE语句判断是否更新某一个字段, 还可以在INSERT 语句用来判断是否插入某个字段的值。 1.1 WHERE条件使用IF 假设现在有一个需求: 实现一个用户管理高级查询功能,根据输入的条件去检索用户信息。这个功能还需要支持以下三种情况: 当只输入用户名时,需要根据用户名进行模糊查询;当只输入邮箱时...
mybatis的$与#的区别以及模糊查询
怕什么真理无穷,进一寸有一寸的欢喜。即使开了一辆老掉牙的破车,只要在前行就好,偶尔吹点小风,这就是幸
12-22 560
使用预编译的数据库操作对象进行注入值的时候,列名是不能够被写入的。
MyBatis模糊查询语句
08-31
主要介绍了MyBatis模糊查询语句的相关资料,需要的朋友可以参考下
MyBatis-plus 模糊查询的使用
09-07
- **模糊查询方法二** 是通过传递整个对象进行模糊查询,所有与`userInfo`对象非空的属性都会被用来构建查询条件。这种方式适用于需要根据多个字段进行模糊查询的情况,但需要注意,它会将所有非空属性视为查询...
Mybatis的like模糊查询功能
08-31
Mybatis这个流行的持久层框架,实现模糊查询功能,特别是`LIKE`操作,可以帮助开发者更灵活地处理数据过滤。本文将详细介绍Mybatis使用`LIKE`进行模糊查询的几种方法。 1. **参数直接加入`%`** 在Mybatis...
day02 mybatis
Libra_97的博客
11-06 409
mybatis
MyBatis模糊查询的几种实现方式
热门推荐
Java程序媛,欢迎大家一起交流学习~
12-09 1万+
MyBatis模糊查询的几种实现方式,和应用遇到的问题。
Mybatis-模糊查询的俩种方法
林夕
03-01 3173
(2)因为直接使用:(’%’+参数+ ‘%’),存在sql注入的情况下,也可以把你写的sql语句看成不同的部分分割来对待,即安全性差,容易遭到攻击。(1).使用concat函数连接字符串,在mysql这个函数支持多个参数,但是其他数据库不一定支持多个参数,因而兼容性弱;like concat (参数一,参数二,参数三):用于模糊查询,不推荐直接用like,所以用concat连接。(2) 可以预防SQL注入(比like concat强),因而安全性也强。bind(参数一,参数二):用于模糊查询
##;#id# 数据库xml文件##的理解
Grace_1203的博客
08-10 466
<delete id="delete" parameterClass="java.util.HashMap"> delete from ppm_filter_view where guid = #GUID# </delete> #GUID#是获取当前系统执行到的GUID 栗子: select * from "+USERTABLE+" where ...
mybatis模糊查询
weixin_47267628的博客
05-04 1万+
模糊查询【重点】 由于模糊查询传入是一个字符串 模糊查询的三种方式 方式一:%${值}% 方式一:注意是一定不能使用#{}没有拼接字符串的作用,会直接当作为%#{值}%一个字符串,所以会报错 select * from t_user where username like '%${username}%'; 方式二:concat('%',#{值},'%') 使用concat函数,来拼接字符串 select * from t_user where username like concat('%',#{use
使用MyBatis进行模糊查询时%到底写哪儿的解决办法
Marvel__Dead 胡艺宝的博客
04-14 4662
介绍感觉以前不会想,看了别人用才知道。。。*_*哭成泪人了。。。解决办法在我们以前写sql语句的时候,我们通常是这样写的。SELECT * FROM user WHERE username LIKE #{likeUser}我们在Java代码我们是这样传值的:%FireLang%到现在才知道,这种写法太有耦合度了,代码写得太丑了!!*\_/*难看的脸。sql语句不能够在Java代码出现,我们要做的
Mybatis模糊查询用#和$什么区别
03-28
Mybatis模糊查询可以使用LIKE关键字来实现。在SQL语句使用LIKE关键字可以做到模糊匹配,比如在查询名字包含“张”的用户时,可以使用如下语句: SELECT * FROM users WHERE name LIKE '%张%' 其%表示通配符...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值