面试中常问的mybatis的xml文件传参数$与#的区别

最新推荐文章于 2024-01-31 16:45:07 发布
最新推荐文章于 2024-01-31 16:45:07 发布
阅读量386 收藏 1
点赞数
分类专栏: mysql mybatis 文章标签: mybatis sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31564573/article/details/108137165
版权

面试中常问的mybatis的xml文件传参数$与#的区别

区别一:#传过来的数据会自动加上引号,$则不会;
区别二: ${} 容易被sql注入,#{} 安全,
安全问题怎么理解?
#{ }:解析为一个 JDBC 预编译语句(prepared statement)的参数标记符。#{} 相当于一个占位符,使用占位符,防止sql注入。
${}:取出的值会直接拼装在sql中,会有安全问题。

demo:

下面我们来看下实际操作中这两中方式的区别吧!

select * from student where student_name = #{name}
select * from student where student_name = ${name}
  1. 若name 传值为"小明"
    执行过程中:
-- #{} 预编译先生成占位符
Preparing: select * from student where student_name = ?
Parameters: 小明(String)
-- ${} 传参直接参与sql编译
  1. 若name传值为"小明 and id = 1"
-- #{} 预编译先生成占位符
Preparing: select * from student where student_name = ?
Parameters: 小明 and id = 1(String): 查不到结果而已
select * from student where student_name = "小明 and id = 1"
-- ${} 传参直接参与sql编译 然而这个sql根本不是你原来的意思,而且此处sql还报错,如果不是字符串类型其他类型想想都可怕,查到了以外的结果,这就是sql注入
-- 
select * from student where student_name = 小明 and id = 1

总结:

能使用 ${ } 的地方就能用 #{ }
表名作为变量时,必须使用 ${ }

采坑先锋
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatiesxml文件下动态传参#{}与${}区别
gaojian2213的博客
12-12 282
#{} 为占位符,传参后默认会用引号将参引起来 ${} 单纯替代,即传过来的参是什么就填什么,不会有引号 例如: table的参值为acmg_pecust_valueInfo select * from #{table}; >> select * from 'acmg_pecust_valueInfo'; select * from ${table}; >> sele...
36道面试常问MyBatis面试题!1
08-08
MyBatis的动态SQL功能允许在XML映射文件编写条件语句,避免硬编码SQL。它包含九种动态SQL标签:trim、where、set、foreach、if、choose、when、otherwise和bind。动态SQL的执行是通过OGNL(Object-Graph ...
xml#和$的区别
qq_44691484的博客
06-12 7175
mybatis的#和$的区别 #将传入的据都当成一个字符串,会对自动传入的据加一个双引号。2. $将传入的据直接显示生成在sql。 #方式能够很大程度防止sql注入。  4.方式无法防止Sql注入。5.方式无法防止Sql注入。 5.方式无法防止Sql注入。5.方式一般用于传入据库对象,例如传入表名.  6.一般能用#的就别用$. MyBatis排序时使用order by 动态参时需要注意,用$而不是# #字符串替换 默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以
xml 模糊查询 ${} 和 #{} 的区别及用法
最新发布
2301_76162638的博客
01-31 221
【代码】xml 模糊查询 ${} 和 #{} 的区别及用法。
MyBatis关于xml映射文件的${}和#{}细节使用
需要远程指导仿真实验、代码有问题的,请后台私信或者关注公众号
07-11 909
xml文件编写SQL语句的坑:因为错误使用${}了插入语句导致向据库插入据失败, 正确的SQL语句应为 原因是: #{}传参会把serial字段值当作字符串,这样的做法比${}传参安全性高,可以防止恶意SQL注入 ${}传参只会正常解析,没有加上字符串,控制台打印的SQL语句为### SQL: 就可以验证这点报错如下: 修改为#{}传参后:...
Mybatis常问:#{}与${}的区别
zjjcchina的博客
06-06 2081
查询到据才可以是登录成功,否则表示登陆失败,但是会有这么一种情况,我们的SQL语句是由我们拼接的,如果用户故意输入可以让后台解析失败的字符串,这就是SQL注入,例如我们输入密码,输入 '''' ' or 1=1'' 这样,他会在后台进行拼接成select count(1) from table where username = 'username' and password = '' or 1=1;由结果可以看出,我们在没有密码的情况下依旧获取到了据库的私密信息,由此可见${}存在很大的安全隐患。
36道面试常问MyBatis面试题!.zip
09-26
MyBatis作为一款深受Java开发者喜爱的持久框架,它在面试经常被提及,因为其灵活、易用且功能强大的特性。以下是一些MyBatis面试可能会遇到的重要知识点,我们将围绕这些知识点进行深入讨论。 1. **MyBatis...
Java面试题合集(javaee,spring,springmvc,springboot,mybatis,mysql
01-01
面试可能会问到关于Web容器和应用服务器的知识,例如Tomcat与WebLogic的区别,以及如何部署和管理JavaEE应用程序。 Spring框架是Java后端开发的核心,它简化了依赖注入、AOP(面向切面编程)、事务管理等多个方面...
Mybatis面试题合集及答案常见题目经典精选汇总大全.docx
12-17
以下是一些关于 Mybatis 面试常问问题的详细解释: 1. #{}与${}的区别: - #{}是预编译参占位符,它会被替换为 SQL 语句的 "?",Mybatis 使用 PreparedStatement 对 SQL 进行预编译,以防止 SQL 注入。例如,#...
mybatisxml文件据传输符号#和$的区别
luxiaoqiba的博客
06-15 751
1.用#传参相当于 String sql = "select * from admin_domain_location order by ?"; PreparedStatement st = con.prepareStatement(sql); st.setString(1, "domain_id"); System.out.println(st.toString()); 这条sql最终
MyBatisxml #和$的区别
梅林's hat
11-11 1506
1. #是将传入的值当做字符串的形式 select id,name,age from student where id =#{id} 当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1 2 $是将传入的据直接显示生成sql语句 select id,name,age from student where id =${id} 当前端把id值1,传入到后台的时候,就相当于 select i...
Mybatis mapper.xml里面${} 和 #{}区别与用法
qq_43589143的博客
07-18 3403
Mybatis 的Mapper.xml语句parameterType向SQL语句传参有两种方式:#{}和${} #{}方式能够很大程度防止sql注入。 $方式无法防止Sql注入。 $方式一般用于传入据库对象,例如传入表名. 一般能用#的就别用$. #{}表示一个占位符即?,可以有效防止sql注入。在使用时不需要关心参值的类型,mybatis会自动进行java类型和jdbc类型的转换。 #{}可以接收简单类型值或pojo属性值,如果传入简单类型值,#{}括号可以是任意名称。 ${}可以将param
mybatisxml的#和$
可乐大牛的博客
08-25 1615
1 #在预编译的时候相当于一个?占位符,而$则是字符串 select * from user where id=#{id} -> select * from user where id=? select * from user where id=${id} -> select * from user where id=“lalal” 2 #能有效防止sql注入 $适合传入一个对象 结论 尽量使用# 而不是$ ...
Mybatis 配置文件xml$与#的区别
u013131716的博客
09-12 740
Mybatis $与#的区别 1.$是将传入的据直接显示生成sql语句 ${}: 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换 举例说明: select id,name,age from student where id =${id}, 当前端把id值1,传入到后台的时候, 就相当于 select id,name,age from student where ...
mysql传参区别_Mybatis:传入参方式以及#{}与${}的区别
weixin_42516903的博客
01-18 622
一、在MyBatis的select、insert、update、delete这些元素都提到了parameterType这个属性。MyBatis现在可以使用的parameterType有基本据类型和JAVA复杂据类型基本据类型:包含int,String,Date等。通过#{参名},只能传入一个参;通过#{0}、#{1}……索引方式,可以传入多个参;如果通过#{参名}传多个值,又不想使...
Mybatis的.xml文件传参使用的#{}与${}的区别
人生短短数十载,要学会走捷径
07-16 1429
mybatis#和$的主要区别是: #传入的参SQL显示为字符串,能够很大程度防止sql注入; $传入的参SqL直接显示为传入的值,无法防止Sql注入。 例如: 使用#{}: select * from student where id = #{id} 当我们传递的参id为 “1” 时,上述 sql 的解析为: select * from student where id = ...
Mybatis映射文件Mapper.xml#和$的区别
a1257427517的专栏
12-06 9055
关于Mapper.xml映射语句什么时候用"#"什么时候用"$",已经有很多人做过总结,我最近在写项目时仍然遇到了一点问题,所以在这里结合项目文档和案例,再做一下总结,也作为个人的笔记,在这里再总结下。 一、先看一下在mybatis api关于"#"和"$"的描述 1、"#" 图 1来自于mybatis api “Mapper XML文件”章节,   简单来说"#"在编译时使用&
Mybatis$与#的区别, $的应用场景
04-23
#的区别是什么? Mybatis$和#都用于动态SQL语句的参绑定,但它们之间有几个区别: 1. #用于预编译,$用于值传递。#会将参放入预编译语句的占位符,可以避免SQL注入,但会使SQL语句无法重用;$将参直接拼接进SQL,可以重用SQL语句,但有SQL注入的风险。 2. #可以自动进行类型转换,$不能自动转换。#会根据目标类型自动转换参类型,$需要手动进行类型转换。 3. #可以在SQL使用占位符,$不能使用。#可以在SQL语句使用占位符进行模糊查询等操作,$只能直接拼接参值。 因此,在使用Mybatis时,应根据具体的业务场景和需求选择使用#或$。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值