MyBatis中${}与#{}的区别

最新推荐文章于 2022-03-15 20:47:26 发布
最新推荐文章于 2022-03-15 20:47:26 发布
阅读量117 收藏
点赞数
分类专栏: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34741165/article/details/87923047
版权

在MyBatis中有两种参数映射的方式

1、#{}

它会在MyBatis 创建 PreparedStatement 参数并安全地设置参数(就像使用 ? 一样)。

MyBatis官方例子:

<select id="selectPerson" parameterType="int" resultType="hashmap">
  SELECT * FROM PERSON WHERE ID = #{id}
</select>

在MyBatis内部相当于是做了个这样的操作:

String selectPerson = "SELECT * FROM PERSON WHERE ID=?";
PreparedStatement ps = conn.prepareStatement(selectPerson);
ps.setInt(1,id);

相信对PreparedStatement 比较熟悉的人也就明白了,为什么用#{}可以防止SQL注入了。

可以参考本人的另一篇文章为什么PreparedStatement可以防止SQL注入

2、${}

它相当于是字符串替换,使用这个符号时,MyBatis 不会修改或转义字符串。

在MyBatis动态解析的时候,会将${}的参数对应的值当成一个字符串直接替换到SQL语句中。

例如:

<select id="selectPerson" parameterType="int" resultType="hashmap">
  SELECT * FROM PERSON WHERE ID = ${id}
</select>

为什么说这种方式不安全,有可能会导致SQL注入攻击?

请看下面这个例子:

假设id的值为"test",经过解析后,SQL语句如下:

SELECT * FROM PERSON WHERE ID = 'test'

如果id的值为"'test' or 1=1",经过解析后,SQL语句如下:

SELECT * FROM PERSON WHERE ID = 'test' or 1=1

这样的话,除非这个表没有值,不然都能查询出数据。

如果把id的值换成删表的操作、或者其它的对数据库结构或数据有影响的操作呢?

 

Only丶Big
关注
专栏目录
Mybatis${}和#{}的区别
founder_forever的博客
03-13 852
${}和#{}的作用 Mybatis在项目起到的是项目和数据库的交互以及sql语句的管理,sql语句的集管理,方便开发人员对sql语句的复用和管理,但是既然需要复用,就表明sql语句本身是进过抽象的,抽象的目标就是参数,在不同的用途就需要传入不同的参数${}和#{}就是用来向已经定义好的sql语句传入参数的。 ${}和#{}的区别 #{} 这种取值是变异号sql语句之后再取...
Mybatis学习之路03 $与#区别
安东尼的小不二的博客
10-25 245
1. #与$区别mybatis,#与$的都可以起到变量替换的作用,但是二者的使用场景却是截然不同的。 #{}的作用主要是替换预编译语句(PrepareStatement)的占位符? 比如xml映射文件语句 <insert id="insert" paremeterType="User"> INSERT INTO person (name) VALUES(#{name}); </insert> $ $符号的作用是直接进行字符串替换 <insert id="in
Mybatis#和$的区别及应用
芃蓉蓁蓁的博客
06-27 1175
(一)#和$的区别 #{} 可以进行预编译处理,会被当成?号,调用PreparedStatement的set方法来赋值; 可以防止sql注入; 传入的参数在sql被看成一个字符串,会对传入的数据自动加引号,例如: select id,name,age from user where id =#{id}; 当参数id传入的值是“1”时,上述sql解析为: select id,name,age from user where id =‘1’; ${} 不会进行预编译处理,是普通的占位符; 不
Mybatis$和#区别
Grace
10-09 1422
一、总结:      #{ }:占位符,防止sql注入      ${ }:sql拼接符号 二、分析:     动态sql是mybatis的强大的特性之一。mybatis在对sql语句进行预编译之前会对sql进行动态解析,解析为一个BoundSql对象,也是在此处对动态SQL进行处理。     在动态SQL解析,#{ }和${ }不同:     #{ }解析为JDBC预编译语
#{}、${}
jxin
08-12 585
1.区别 #{} ${} 含义 #{}是预编译处理,Mybatis在处理#{}时,它会将sql的#{}替换成占位符?,然后调用PreparedStatement的set方法来赋值,传入字符串后会自动加上引号 。 ${}是字符串替换,Mybatis在处理${}时,它会将sql的${}替换为变量的值(不做字符串处理);使用${}会导致sql注入,不利于系统的安全。 eg #{...
Mybatis#{}与&{}的区别
weixin_30321449的博客
12-28 731
一、#{}表示一个占位符号   主要有以下几点功能: 通过#{}可以实现preparedStatement向占位符设置值,自动进行Java类型和jdbc类型转换 #{}可以有效的防止SQL注入 #{}可以接收建磊类型值或者pojo属性值 如果parameterType传给单个简单类型值,#{}括号可以是value或其他名称 二、${}表示拼接SQL串 通过${}可以将...
MyBatis ${}和 #{}的正确使用方法(千万不要乱用)
08-18
MyBatis框架,${} 和 #{} 是两种不同的参数占位符,它们的使用方式和作用有明显的区别,对于SQL语句的安全性和效率有着重要影响。 1. #{} #{} 是预编译处理的方式,也被称为参数绑定或者预处理。在处理 #{ } ...
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
Mybatis$与#的区别, $的应用场景
最新发布
04-23
Mybatis$和#都用于动态SQL语句的参数绑定,但它们之间有几个区别: 1. #用于预编译,$用于值传递。#会将参数放入预编译语句的占位符,可以避免SQL注入,但会使SQL语句无法重用;$将参数直接拼接进SQL,...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
#{}和${}的区别
weixin_42714605的博客
06-17 160
#{}获取参数的内容 ,支持索引获取,param1获取指定位置参数,并且SQL使用?占位符 字符串拼接不使用?,默认找{}字符串拼接不使用?,默认找字符串拼接不使用?,默认找{内容}内容的get/set方法。如果是写数字,就是一个数字。 ...
关于模糊查询的#{}和&{}的不同
momo牛的博客
10-05 448
#{}是预编译处理,&{}是字符串替换 #{}会将{}内的内容替换成? ,这样防止SQL注入; &{}是字符串拼接,将{}内的内容直接替换到SQL语句
"${}"与"#{}"符号的区别
weixin_45843557的博客
02-08 438
**"KaTeX parse error: Expected 'EOF', got '#' at position 6: {}"与"#̲{}"符号的区别** 解决方法…{}"表示把其便以为其值 select * from user where username = ‘lifang’; “#{}” --> 编译结果为select * from user where username = ?; ...
MyBatis —— 5、获取参数值 #{} 和 &{}(五种情况)
Mr_zhangyj的博客
03-15 1834
MyBatis获取参数值的两种方式:${}和#{} ${}的本质就是字符串拼接,#{}的本质就是占位符赋值 ${} 使用字符串拼接的方式拼接 sql,若为字符串类型或日期类型的字段进行赋值时,需要手动加单引号;但是使用 #{} 占位符赋值的方式拼接sql,此时为字符串类型或日期类型的字段进行赋值时,可以自动添加单引号 1、单个字面量类型的参数 若mapper接口的方法参数为单个的字面量类型,此时可以使用 ${} 和 #{} 以任意的名称(最好见名识意)获取参数的值,注意 ${..
mybatis &和#的区别
qq_37591449的博客
06-26 856
1.0概述 #{} : 采用预编译方式,可以防止SQL注入,#{}实现的是向prepareStatement的预处理语句设置参数值,sql语句#{}表示一个占位符即? ${}: 采用直接赋值方式,无法阻止SQL注入攻击,他是直接拼接sql字符串的方式 2.0实例 2.1使用${} xml: <insert id="deptSave"> inser...
mybatis"#"和"$"的区别
weixin_33972649的博客
09-18 1192
  动态 sql 是 mybatis 的主要特性之一,在 mapper 定义的参数传到 xml 之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。   在下面的语句,如果 username 的值为 zhangsan,则两种方式无任何区别:    select * from user where na...
MyBatis#{}和${}的区别详解 区别
热门推荐
wwwwww33的博客
07-01 4万+
区别 1.#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id". 2.将传入的数据直接显示生成在sql。如:orderby将传入的数据直接显示生成在sql。如:orderbyuser_id$,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sq
mybatis#和$的区别
灰太狼
03-22 2万+
mybatis接口mapper文件引用传入的参数是通过#{param}或者${param}来使用的。1.数据类型匹配#:会进行预编译,而且进行类型匹配$:不进行数据类型匹配2.实现方式 #:用于变量替换$:实质上是字符串拼接3.#和$的使用场景(1)变量的传递,必须使用#,使用#{}就等于使用了PrepareStatement这种占位符的形式,提高效率。可以防止sql注入等等问题。#方式一般用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值