mybatis # 和$ 获取接收参数值的区别

最新推荐文章于 2023-09-13 17:35:42 发布
最新推荐文章于 2023-09-13 17:35:42 发布
阅读量162 收藏
点赞数
文章标签: mybatis sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36344214/article/details/115153318
版权

 Mybatis 执行 入口是 DefaultSqlSession.selectOne()方法,可以通过debut这个方法,去查看这个原理。Mybaitis 封装了JDBC ,执行时会将我们注解(@Select) 或 Mapper 中的 Sql 和参数进行处理,并交给 PreparedStatement 来执行。

比如Mybatis 的sql语句如下:

SELECT * FROM ${table_name} WHERE name = #{name} AND password  = #{password}

 通过方法调用传入值

classDao.selectEntityByTableNameAndId("tb_student", "austin","123456");

被处理后的sq预处理语句变成

 

SELECT * FROM tb_student WHERE name = ? AND password  = ?

可以发现,后面由#号接受值得方式变成了“?”号占位符,后面通过PreparedStatement.setString 去分别设置占位符对应得值。

而$ 符号直接,把传入参数对应得值,填充到了sql语句了,这样显然容易导致sql注入。

所以总结如下:

都可以作为接受参数值的方式

但是$由于没有经过预处理语句处理,容易导致sql注入问题

如果非要使用$,除非传入的值不是由用户提交的,而是由服务器端提供的,如果非要前端提供,而且坚持要用$,可以这么做

比如前端用下拉框,后端通过获取下拉框的值(比如0,1,3)进行判断,从而从后台找到对应的字符串,这样就能做到既使用$,又防止sql注入问题。

综上所述,貌似实在找不到用$的任何优点。所以一般能用#的就别用$,尽量的使用#方式。

 

不想秃头的程序员
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
#{}和${}获取对象参数的异同点
qq_41604862的博客
03-31 787
sql语句中#{}和${}的区别 #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。 如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id” $将传入的数据直接显示生成在sql中。如:order by userid,如果传入的值是111,那么解析成sq...
MyBatis中使用#{}和${}符号获取参数值区别
三水小鱼干的博客
08-26 271
Mybatis中#和$的取参数值问题总结
qq_42288638的博客
07-17 386
PreparedStatement:可以使用通配符操作SQL,因为在为String类型赋值的时候,可以自动加单引号,因此不需要考虑单引号问题,所以建议用# Statement:必须使用字符串拼接的方式来操作SQL,一定要注意单引号问题,${}就是Statement模式,但是会有SQL注入危险。 Emp getEmpByEid(String eid); 1.当只传一个参数时,#{},可以填任意参数获取值 select eid,ename,age,sex from emp where eid = #{任何
MyBatis获取参数值的两种方式#{}和${} 以及 获取参数值的各种情况
最新发布
weixin_55772633的博客
09-13 1213
SQL 语句中使用 #{},MyBatis 会自动将参数值进行预编译处理,防止 SQL 注入攻击,并且可以处理各种类型的参数(如字符串、数字、日期等)。但是#{}使用占位符赋值的方式拼接sql,此时为字符串类型或日期类型的字段进行赋值时,可以自动添加单引号。使用arg或者param都行,要注意的是,arg是从arg0开始的,param是从param1开始的。因此只需要通过${}和#{}访问map集合的键就可以获取相对应的值,注意${}需要手动加单引号。MyBatis获取参数值的两种方式:${}和#{}
MyBatis中#{}和${}的区别
m0_67683346的博客
02-28 4661
MyBatis中#{}和${}的区别
MyBatis参数处理实现方法汇总
09-07
例如,如果有两个参数`id`和`name`,则在SQL中可以使用`#{param1}`和`#{param2}`来获取它们的值。 3. **命名参数**: 使用`@Param`注解可以明确指定Map中的键。例如,`@Param("id") Integer id`,那么在SQL中通过`...
MyBatis拦截器:给参数对象属性赋值的实例
08-30
`@Signature`注解用来精确定义拦截的方法,这里是`Executor`类的`update`方法,接收`MappedStatement`和`Object`两个参数。 当拦截器的`intercept`方法被调用时,它首先获取到方法的所有参数,并打印当前线程ID。...
深入学习MyBatis中的参数(推荐)
08-30
MyBatis中,参数处理是执行SQL语句的关键步骤,尤其当遇到异常时,往往与参数的处理和传递方式有关。本文将深入探讨MyBatis处理参数的全过程,以及如何有效避免相关错误。 首先,MyBatis支持两种主要的参数处理...
mybatis如何使用Java8的日期LocalDate和LocalDateTime详解
08-29
在Java 8中,Oracle引入了全新的日期时间API,包括`LocalDate`、`LocalTime`和`LocalDateTime`,这些类提供了更加直观且强大的日期时间处理能力,替代了传统且复杂的`java.sql.Date`、`java.sql.Timestamp`和`java....
mybatis 获取mysql插入记录的自增长字段值.pdf
12-16
总之,通过MyBatis的`useGeneratedKeys`和`keyProperty`特性,我们可以方便地在插入记录后获取自增长字段的值,从而简化了数据库操作的复杂性,提高了代码的可读性和可维护性。在实际开发中,根据具体需求,还可以...
MyBatis】使用#{}与${}获取参数
little_fat_sheep
06-12 1305
1 前言 MyBatis 的映射文件中,获取参数的方式主要有 ${ } 与 #{ },主要区别如下: ${}:字符串替换,使用 Statement 方式操作 SQL,在为 String 类型变量赋值时,需要手动加单引号,没有预编译,不可以防止 SQL 注入; #{}:参数占位符,使用 PreparedStatement 方式操作 SQL,在为 String 类型变量赋值时,可以自动加单引号,有预编译,可以防止 SQL 注入; 一般建议使用 #{},但在模糊查询和批量删除时,建议使用 ${}。由于 #{
Mybatis中的 ${} 和 #{}区别与用法 接收参数写法 模糊查询
qq892628217的博客
04-23 992
1.#{}应该怎么填写 [#{}]: 表示一个占位符? [#{id}]:表示该占位符待接收参数的名称为id。注意:如果参数为简单类型时,#{}里面的参数名称可以是任意定义,如果参数传入的时对象,则填写相应的属性名。 模糊查询 %号是代表缺少的内容 3.多个参数 首先要遵循规范。 ...
MyBatis中#获取参数和$获取参数的区别
weixin_44423175的博客
01-19 592
MyBatis中#获取参数和$获取参数的区别 #获取参数 使用#{param}引用参数传值时: 1.使用新对象传递,防止SQL注入 2.字段是字符串类型会自动拼接双引号 $获取参数 使用${param}引用参数传值时: 1.直接把参数值拼在SQL中,尊在SQL注入问题 2.不会为字符串类型的参数拼接双引号导致SQL异常 最后,从安全性上考虑,能使用#尽量使用#来传参,这样可以防止SQL注入的问题。...
mybatis中碰到的问题:接收参数时,#{ } 接收不到而 ${ } 却能正确接收
leidi384559667的博客
09-30 1893
mybatis中碰到的问题:接收参数时,#{ } 接收不到而 ${ } 却能正确接收 我是在insert的过程中发现注入有问题,最后发现是加了statementType=“STATEMENT”,去掉之后就可正常注入
Mybatis接收参数的几种方式总结
f45056231p的博客
03-27 6455
Mybatis接收参数的几种方式总结 PandoraHearts 关注 2018.06.12 09:22 字数 286 阅读 950评论 1喜欢 9 当Mybatis中只有一个基本类型参数时,只能够使用 #{参数名} 来取参数,而不能够直接使用 ${参数名} 来取参数,否则会报错,如下: mapper interface: public interface Works1Mapper e...
Mybatis #和$获取参数值区别以及@param的使用场景
Tom098的博客
12-04 3650
Mybatis 中$与#的区别 1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于select id,name,age from student where id ='1'. 2 $是将传入的数据直接显示生成sql语句,eg:select id,name,ag...
mybatis两种接收参数的方式#{args}和${args}的区别小知识
青衣慕云的博客
01-13 1476
1、#{args}接收的参数会被自动处理为字符串,加引号; 2、${args}传入的参数会原样显示; 3、#{args}很大程度上防sql注入; 4、${args}无法防注入; 5、${args}一般用于传入数据库对象,本人用最多的方式是动态传入表名; 6、能用#{args}的地方就不要用${args}; 7、mybatis排序时用${a
Mybatis实战 之 参数取值方式
Dusty丶one的博客
12-09 1992
Mybatis实战 之 参数取值方式在Mybatis 的 Mapper接口文件时,我们可以使用两种方式来获取参数值即#{} 和 ${},下面我们将通过里来说明一下两者的区别。实例首先我们编写一条语句,然后分别使用#{} 和 ${} 分别取值。 sqlselect * from products where pid=${pid,jdbcType=INTEGER} and type=#{type,jdb
mybatis中#{}和${}的区别
qq_37776015的博客
05-07 5182
本章节主要讲解mybatis中#{}和${}的区别 首先我们先通过代码事例查看下二者的区别: 在EmployeeMapper接口中有这么一个方法: Employee getEmpByIdAndLastName(@Param("id")Integer id, @Param("lastName") String lastName); 在对应的EmployeeMapper.xml 映射文...
mybatis 一对多 接收参数为Long该怎么用
07-12
MyBatis 中,如果你要处理一对多关系并且接收参数为 Long 类型,你可以使用 MyBatis 的动态 SQL 功能来完成。 首先,你需要在你的 Mapper 接口中定义一个方法,接收 Long 类型的参数。例如: ```java public ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值