mybatis的#{}占位符和${}拼接符的区别

最新推荐文章于 2023-11-29 14:15:15 发布
最新推荐文章于 2023-11-29 14:15:15 发布
阅读量670 收藏 1
点赞数 1
分类专栏: Mybatis 文章标签: mybatis的#{}占位符和${}拼接符的区别

mybatis做为一个轻量级ORM框架在许多项目中使用,因其简单的入门受到了广大开发者的热爱。

#{}占位符:占位

使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句中如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且在使用#{}时形成的sql语句,已经带有引号,例,select * from table1 where id=#{id} 在调用这个语句时我们可以通过后台看到打印出的sql为:select * from table1 where id=‘2’ 加入传的值为2.也就是说在组成sql语句的时候把参数默认为字符串。

如果传入的是基本类型,那么#{}中的变量名称可以随意写
如果传入的参数是pojo类型,那么#{}中的变量名称必须是pojo中的属性.属性.属性…

${}拼接符:字符串原样拼接
如果传入的是基本类型,那么${}中的变量名必须是value
如果传入的参数是pojo类型,那么${}中的变量名称必须是pojo中的属性.属性.属性…
注意:使用拼接符有可能造成sql注入

使用${}时的sql不会当做字符串处理,是什么就是什么,如上边的语句:select * from table1 where id=${id} 在调用这个语句时控制台打印的为:select * from table1 where id=2 ,假设传的参数值为2

从上边的介绍可以看出这两种方式的区别,我们最好是能用#{}则用它,因为它可以防止sql注入,且是预编译的,在需要原样输出时才使用${},如,

select * from ${tableName} order by ${id} 这里需要传入表名和按照哪个列进行排序 ,加入传入table1、id 则语句为:select * from table1 order by id

如果是使用#{} 则变成了select * from ‘table1’ order by ‘id’ 我们知道这样就不对了。

另,在使用以下的配置时,必须使用#{}

<select id="selectMessageByIdI" parameterType="int" resultType="Message">
    select * from message where id=#{id};
</select>


在parameterType是int时,sql语句中必须是#{}。

<!-- 
id:sql语句唯一标识 
parameterType:指定传入参数类型
resultType:返回结果集类型
#{}占位符:起到占位作用,如果传入的是基本类型(string,long,double,int,boolean,float等),那么#{}中的变量名称可以随意写.
#{}:如果传入的是pojo类型,那么#{}中的变量名称必须是pojo中对应的属性.属性.属性.....
-->
<select id="findUserById" parameterType="int" resultType="cn.itheima.pojo.User">
       select * from user where id=#{id}
</select>

<!-- 
${}拼接符:字符串原样拼接,如果传入的参数是基本类型(string,long,double,int,boolean,float等),
那么${}中的变量名称必须是value
${}:如果传入的参数是pojo类型,那么`${}`中的变量名称必须是pojo中的属性.属性.属性...
注意:拼接符有sql注入的风险,所以慎重使用
 -->
<select id="findUserByUserName" parameterType="string" resultType="user">
    select * from user where username like '%${value}%'
</select>
xk_一步一步来
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2种不能随意写占位符#{}的情况 (Java+Oracle框架--mybatis)
weixin_45464739的博客
11-08 473
占位符 #{} 只有一个的时候都能随意写。比如 #{a} 或者 #{abc} 等等,不过最好见名知义。 有2种情况不能随意写: 第1种: 传入的参数是对象时,需要用到对象的属性 #{deptno} #{dname} ,#{} 里面必须使用对象属性。 <!--Javabean:根据用户名和部门编号同时查询员工信息 : sql语句中的参数2个--> <select id="queryEmpByNameDeptno" parameterType="emp" resultType
MyBatis中#{}和${}的区别详解
09-01
MyBatis框架中,`#{}`和`${}`是两种不同的占位符,它们各自有不同的用途和特性。了解它们的区别对于编写安全、高效的SQL语句至关重要。 首先,`#{}`是预编译参数的表示方式,它会被MyBatis转化为...
mybatis拼接占位符区别
Vectory0213的博客
08-06 1600
占位符: 1.#{}占位符可以用来设置参数,如果传进来的是基本类型,也就是(string,long,double,int,boolean,float等),那么#{}里面的变量名可以随意写,什么abc,xxx等等,这个名字和传进来的参数名可以不一致。 2.如果传进来的是pojo类型,那么#{}中的变量名必须是pojo的属性名,可以写成属性名,也可以写属性名.属性名。 拼接: 3.注意:#{...
MyBatis#{}占位符和${}拼接区别
泗水六年的博客
07-24 91
传入的参数在SQL中显示为字串,#方式能够很大程度防止sql注入;$传入的参数在SqL中直接显示为传入的值,$方式无法防止Sql注入。
mybatis中的#占位符和$拼接区别
qq_45603855的博客
08-10 754
mybatis中的#占位符和$拼接区别一、sql注入1、什么是sql注入2、sql注入示例二、#占位符和$拼接区别三、mybatis如何防止sql注入四、总结   为更好地解释mybatis中的#占位符和$拼接区别,这里对sql注入做一个简单说明。 一、sql注入 1、什么是sql注入   SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 2、sql注入示例   首先定义一个sql字串,来
占位符拼接区别——2017.08.16
weixin_30709809的博客
08-16 253
  占位符:先占住一个固定的位置,等着你往里面添加内部的号。在MyBatis中:"#{ }"表示占位符,1 对于基本类型类型变量,#{ }中变量名称可以随意填写 2 如果传入的是POJO类型变量,传入的必须是POJO对象的属性 拼接:${ }字串原样拼接,1 如果传入的是基本类型变量,${ }中必须填入value值 2 如果传入的是POJO类...
浅谈Mybatis #和$区别以及原理
08-18
Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别Mybatis中,#和$都是占位符,但是它们...
浅谈mybatis中的#和$的区别
09-02
MyBatis中,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis中的#和$的区别 以及防止sql注入的方法
09-01
MyBatis中,`#`和`$`在动态SQL中的使用有着明显的区别,它们在处理传入数据的方式上有所不同,同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
2mybatis(和占位符拼接区别)
xiaoxiaoniaoQ的博客
10-11 788
6.2.3. 占位符拼接区别 1.  类型处理: 占位符#{}传递参数时会做参数类型处理, 拼接${}传递参数时不会做类型处理只进行字串原样拼接 2.  安全性: ${}的原样拼接导致它存在安全漏洞,容易产生SQL注入风险 #{}的类型处理会对参数中存在的SQL敏感字先转义然后再映射给SQL,这就不会影响原先的SQL,因此可以有效防止SQL注入。 3.  工作中的应用: ...
Mybatis占位符拼接区别与使用场景
shadow_zed的博客
05-01 1032
mybatis 拼接_关于 Mybatis的 $ 和 # , 你真的知道他们的细节吗?
weixin_39580715的博客
12-09 717
前言在JDBC中,主要使用的是两种语句,一种是支持参数化和预编译的PrepareStatement,能够支持原生的Sql,也支持设置占位符的方式,参数化输入的参数,防止Sql注入,一种是支持原生Sql的Statement,有Sql注入的风险。在使用Mybatis进行开发过程中,隐藏了底层具体使用哪一种语句的细节,我们通过使用#和$告诉Mybatis,我们实际上进行的是怎么样的操作,需要对语句进行参...
【MybBatis细节篇】MyBatis中#{}和${}的区别
输入技术、输出想法
12-02 4479
MyBatis中#{}和${}的区别#{} 和 ${} 的区别#{} 和 ${} 的实例:假设传入参数为 1#{} 和 ${} 的大括号中的值单个参数的情形#{}${}多个参数的情形#{}${}#{} 和 ${} 在使用中的技巧和建议 在MyBatis 的映射配置文件中,动态传递参数有两种方式: 1、#{} 占位符 2、${} 拼接 #{} 和 ${} 的区别 区别1 #{} 为参数占位符 ?,即sql 预编译 ${} 为字串替换,即 sql 拼接 区别2、 #{}:动态解析 -> 预编译
MyBatis单表查询——参数占位符${}和#{}、SQL注入、like查询
LYJbao的博客
03-25 2199
目录前言: 1、参数占位符:${}和#{}2、SQL注入 3、${}的优点小结:$ VS #:4、like查询 解决方案,使用MySQL的内置函数concat()来处理 以下文章,对于没有接触过Mybatis的小伙伴来说,需要看完这篇文章才可以继续向下执行:http://t.csdn.cn/nGTFZ其次,我们为了更好地观察出现的问题,可以在配置文件中,配置打印MyBatis的执行SQL: 1、参数占位符:${}和#{} 我们在mapper的.xml文件中,进行数据库的SQL语句编
Mybatis的#{}与${}占位符
m0_48215210的博客
10-05 602
Mybatis的#{}与${}占位符
MyBatis中#{}占位符与${}拼接的使用
pan_junbiao的博客
12-02 7465
1、关于#{}占位符 先来看以下的示例,该示例是MyBatis中的SQL映射配置文件(Mapper配置文件),在该配置中使用了#{}占位符。 <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" ...
mybatis的#占位符
最新发布
weixin_58069198的博客
11-29 530
之前的增删改查操作中,SQL语句中的值是写死在SQL中,而在实际开发中,此处的值往往是用户提交过来的值,因此这里我们需要将SQL中写死的值替换为占位符。#{}占位符:相当于JDBC的问号,是为SQL中的值进行占位的,将来我们的值传到sql中,由占位符替换,那么我们的sql的灵活性就会变得极高。加入传递的值是老安select * from emp where name=’老安’#{}出于安全考虑,会将传递过来的值,进行转译处理。假如此次传递的值不是参数值,而是SQL语句本身。例如想要动态传递查询的列。
mybatis #{} 和 ${} 的区别
09-22
Mybatis中的#{}和${}是用于动态SQL的两种不同的占位符语法。 1. #{}:这是Mybatis中的预编译语法,表示将参数值作为一个占位符来使用。使用#{}可以避免SQL注入的风险。在SQL被预编译之后,#{}中的参数值会通过JDBC的预编译机制进行占位符替换。即使参数是字串类型,也可以自动添加引号,使得传入的参数值在SQL中被当作字串处理。 例如,假设有一个查询语句: ``` SELECT * FROM users WHERE username = #{username} ``` 当传入参数为"John"时,会被转化为: ``` SELECT * FROM users WHERE username = 'John' ``` 2. ${}:这是Mybatis中的文本替换语法,表示在生成的SQL中直接插入参数值。使用${}时,传入的参数值会被直接替换到SQL语句中,没有任何额外的处理。这种写法可以用于表名、列名等无法使用预编译的场景。但是需要注意的是,使用${}时存在SQL注入的风险,因为参数值直接嵌入到SQL语句中,没有任何过滤或转义。 例如,假设有一个查询语句: ``` SELECT * FROM ${tableName} ``` 当传入参数为"users"时,会被转化为: ``` SELECT * FROM users ``` 总结: - 使用#{}可以更安全地处理参数,并且能够自动处理类型转换和特殊字的转义。 - 使用${}可以进行更灵活的SQL拼接,但需要注意防止SQL注入的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值