mybatis #{}和${}的区别

最新推荐文章于 2024-04-25 15:41:10 发布
最新推荐文章于 2024-04-25 15:41:10 发布
阅读量1.6w 收藏 190
点赞数 40
文章标签: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24916847/article/details/83501199
版权

他们之间的区别用最直接的话来说就是:#相当于对数据 加上 双引号,$相当于直接显示数据。

1、#对传入的参数视为字符串,也就是它会预编译,select * from user where name = #{name},比如我传一个csdn,那么传过来就是 select * from user where name = 'csdn';

2、$将不会将传入的值进行预编译,select * from user where name=${name},比如我穿一个csdn,那么传过来就是 select * from user where name=csdn;

3、#的优势就在于它能很大程度的防止sql注入,而$则不行。比如:用户进行一个登录操作,后台sql验证式样的:select * from user where username=#{name} and password = #{pwd},如果前台传来的用户名是“wang”,密码是 “1 or 1=1”,用#的方式就不会出现sql注入,而如果换成$方式,sql语句就变成了 select * from user where username=wang and password = 1 or 1=1。这样的话就形成了sql注入。

4、MyBatis排序时使用order by 动态参数时需要注意,用$而不是#

 

字符串替换
默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用:
ORDER BY ${columnName}
这里MyBatis不会修改或转义字符串。

重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。

青灯古酒ி
关注
  • 40
    点赞
  • 190
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
Mybatis下动态sql中##和$$的区别讲解
08-26
Mybatis下动态sql中##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis中,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis中,使用...
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
Shell特殊变量讲解:$n、$#、$*、$@、$?、$$各自代表的意思及用法
热门推荐
nianjiuhuiyi的博客
08-12 1万+
$n 语法:$n,含义:用于接收shell脚本文件执行时传入的参数。 $0 #用于获取当前脚本文件名称 $1~$9 #代表输入的第一个参数到第9个参数 # 这都不用括号(要也不影响) 第10个以上就用数字比如{数字} 比如数字比如{12} # 后面这些都必须要{ }括号 简单示例编辑一个名为456.sh的shell脚本: #!/bin/bash echo $0 echo "输入的第一个参数:$1" echo "输入的第二个参数:$2" echo "输入的第11个参数:${11}" 执
新人一看就懂: #{} 和 ${} 的区别
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
mybatis - 取值符号:# 和 $的区别
最新发布
pig_ning的博客
04-25 334
mybatis - 取值符号:# 和 $的区别
#和$的区别
C18298182575的博客
07-13 9299
MyBatis:#和$的区别 一、结论   #{}:占位符号,好处防止sql注入   ${}:sql拼接符号 二、具体分析 动态 SQL 是 mybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } 和 ${ } 会有不同的表现。 #{ }:解析为一个 JDBC 预编译语句(prepa
linux中$?,$#等代表什么
riuhazen的博客
04-15 620
找干货、答疑就来公众号:学神IT教育(XueGod-IT) $0 这个程式的执行名字 $n 这个程式的第n个参数值,n=1…9 $* 这个程式的所有参数,此选项参数可超过9个。 $# 这个程式的参数个数 $$ 这个程式的PID(脚本运行的当前进程ID号) $! 执行上一个背景指令的PID(后台运行的最后一个进程的进程ID号) $? 执行上一个指令的返回值 (显示最后命令的退出状态。0表示没有错误,其他任何值表明有错误) $- 显示shell使用的当前选项,与set命令功能相同 @跟@ 跟@跟*类似,但是可以
mybatis中的#和$的区别?
gol_phing的博客
08-12 747
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis中的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis中的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
C sharp和java的区别
01-27
本文主要讲述了c sharp和java的区别与联系。更好地阐述了指针在两种语言中是如何表示和实现的。
#与$符号的区别
Jay_unique的博客
12-29 4226
#与KaTeX parse error: Expected 'EOF', got '#' at position 29: … 共同点: #̲和都是用来取值的 参数传递普通类型(基本数据类型和他的包装类。再加一个String) #: 正常发送的sql语句 SELECT * FROM t_student WHERE id=? $: 传递普通类型,它是要报错的,取不到值 参数传...
${}和#{}用法的区别详解
weixin_62079735的博客
08-05 771
{}和#{}表达式是 Spring 框架中用于属性值获取和表达式求值的两种语法。${}用于静态属性注入,适合获取配置值;#{}用于动态计算和复杂逻辑,适合在运行时进行求值。根据您的需求,选择适当的表达式,可以更灵活地配置和操作 Spring 组件。
mybatis中$和#的区别
weixin_45151960的博客
11-01 479
1、¥字符串拼接,# 参数站位相当于jdbc中的? 2、¥不能够防止sql注入,#可以防止sql注入的 3、¥可以替换sql语句任何一个内容,#只能替换参数 4、¥如果操作字符串,需要在sql中使用单引号。 #不需要(不需要判断数据类型,会自动转换)(¥要考虑参类型 ,#不用考虑参数类型) 简单来说#{} 解析的是占位符?可以防止SQL注入, 比如打印出来的语句 select * from tab...
mybatis #{}和${}的区别是什么
weixin_30895603的博客
04-16 1593
#{}和${}的区别是什么?正确的答案是:#{}是预编译处理,${}是字符串替换。(1)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值。(2)mybatis在处理${}时,就是把${}替换成变量的值。(3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输...
Java框架 | Spring和MyBatis中的#与$
weixin_40142386的博客
03-17 1518
问题导向式了解Spring和MyBatis中的#与$
$ 和 # 区别
paotaiaaaaaa的博客
03-31 917
他们之间的区别用最直接的话来说就是:#相当于对数据 加上 双引号,$相当于直接显示数据。 1、#对传入的参数视为字符串,也就是它会预编译,select * from user where name = #{name},比如我传一个csdn,那么传过来就是 select * from user where name = ‘csdn’; 2、将不会将传入的值进行预编译,select∗fromuserwherename=将不会将传入的值进行预编译,select * from user where name=将不会
mybatis里面动态传参${} 和#{}的区别
qq_37557563的博客
07-06 2463
他们的区别一句话概括:#{name}对数据 加上 双引号,${name}直接显示数据。 1、#{name}把传入的参数视为字符串,会预编译, 例子:select * from a where name= #{name} 入参name=哈哈 其实相当于select * from a where name="哈哈", 2、${name} 不会进行预编译, 例子:select * from a where name= #{name},入参name=哈哈, 其实相当于s...
mybatis #和$的区别
09-19
MyBatis中,${}和#{}都是用来替换参数的符号,但它们有以下几个区别: 1. 功能不同:${}是直接替换参数的值,而#{}是进行预处理,并将参数的值设置到预编译语句中。 2. 使用场景不同:通常情况下,我们使用#{}来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值