mybatis配置文件中#、$区别

最新推荐文章于 2024-05-02 09:00:00 发布
最新推荐文章于 2024-05-02 09:00:00 发布
阅读量451 收藏 1
点赞数
分类专栏: SQL 文章标签: mybatis、SQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37480021/article/details/80770213
版权

mybatis配置文件中#、$区别:2018年06月21日 10:37:15

在其配置文件中,参数的传递有两种:

一种是#{}、一种是${}其主要区别:

#{}实现的是SQL语句的预处理参数,之后执行的SQL中用“?”代替,使用的时候不关心数据类型,其可以自动实现数据类型的转换并且可以防止SQL注入。

${}实现的是SQL语句的直接拼接,不做数据类型的转换,需要自行判断数据类型,不能防止SQL的注入。

总结:

      #{}占位符,用于参数的传递;需要预编译,防止SQL注入,不需要关心数据类型,一个参数时,任意参数名都可以接受从参数。

      ${}用于SQL语句的拼接,非预编译,直接字符串的拼接,不可以防止SQL注入,需要关心数据类型,一个参数时必须是value。

盛夏的季节
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入实例分析
weixin_30624825的博客
07-23 3438
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执...
mybatis#与$的区别
测试架构师养成记的博客
06-19 120
前言 最近在写代码过程遇到一个问题,这里简单做下描述。本意想写如下这么一条SQL。 SELECT t.id, t.name, t.version, t.module, t.test_type, t.platform, t.test_case, t.test_group FROM UI_TEST_SUIT AS t WHERE t.id in (1,2); 库确实存在id为1,2的这两条记录,...
#{}与${}的理解
weixin_37766721的博客
06-23 166
#{}与${}的理解区别场景 区别 #{ }是预编译处理,MyBatis在处理#{ }时,它会将sql的#{ }替换为?,然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号 $ {}是字符串替换, MyBatis在处理 $ { }时,它会将sql的 $ { }替换为变量的值,传入的数据不会加两边加上单引号。 注意:使用${ }会导致sql注入,不利于系统的安全性! SQL注入:就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查
sql#和$的区别
qq_40045795的博客
06-19 1315
sql#和$的区别 区别: (1)#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是id,则解析成的sql为order by “id”。 (2)#方式在很大程度上能够防止sql注入。 (3)$将传入的数据直接显示生成在sql。如:order by useriduser_iduseri​d,如果传入的值是id,则解析成的sql...
MyBatis的#{} 和 ${}
最新发布
2301_76161469的博客
05-02 745
由于 ${} 存在 SQL注入的问题,因此,在能够使用 #{} 的情况下,我们尽可能选择使用 #{},而在需要使用 ${} 时,我们需要对用户输入的数据进行验证,确保其符合预期的格式和范围。当使用 ${} 时,由于没有对用户输入进行充分检查,而SQL又是拼接而成的,在用户输入参数时,在参数添加一些 SQL关键字,达到改变SQL运行结果的目的,也可以完成恶意攻击。当使用 ${} 时,由于参数直接拼接在SQL语句,而字符串作为参数时需要添加 '',而 ${} 不会拼接'',因此程序报错。
sql语句#{}和${}的区别
weixin_30871293的博客
02-05 135
#---将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”。 $---将传入的数据直接显示生成在sql。如:order by userid,如果传入的值是111,那么解析成sql时的值为order...
# 和 $ 的区别
薛定谔的猫的博客
07-25 1946
预编译处理:Mybatis在处理#{}时候,会将SQL的#{}转换为?,使⽤ PreparedStatement 的 set ⽅法来赋值。直接替换:是MyBatis 在处理 ${} 时,就是把 ${} 替换成变量的值。
sql语句的#{}占位符和${}占位符
JavaClub
06-09 8948
#方式能够很大程度防止sql注入;$方式无法防止Sql注入。
Mybatis的#和$的区别
热门推荐
qq_27811247的博客
06-22 4万+
在学校的时候,想必大家肯定听老师讲过,在mybatis,配置参数要用#,不要用$符号。因为$不安全,容易被sql注入。讲是这么讲,但是如何注入的,大家一起来看看吧。 一:下面我们写个关于“#”的个sql,看能不能注入。 <select id="selectUser" resultMap="BaseResultMap"> SELECT ...
MyBatis框架mybatis配置文件详细介绍
08-28
MyBatis框架mybatis配置文件详细介绍 MyBatis框架mybatis配置文件MyBatis框架的核心组件之一,是一个XML文件,用于定义MyBatis框架的基本配置信息。下面是mybatis配置文件的详细介绍。 一、注册DB连接四要素...
MyBatis配置文件的写法和简单使用
08-31
MyBatis 是支持定制化 SQL、存储过程以及高级映射的优秀的持久层框架。这篇文章主要介绍了MyBatis配置文件的写法和简单使用,需要的朋友参考下
springboot配置文件和整合mybatis配置文件
01-20
springboot配置文件模板:包括多环境开发布置,端口号配置,全局jackson配置,mysql数据库配置,oracle数据库配置,连接池配置,redis配置,redis链接池的配置,设置上传文件大小限制配置,全局格式化时间配置,https证书配置...
mybatis配置文件解读
12-14
1. **MyBatis配置文件结构** MyBatis的主配置文件通常命名为`mybatis-config.xml`,它由多个元素组成,包括`settings`、`typeAliases`、`plugins`、`environments`、`mappers`等。 - `settings`:设置MyBatis的...
去掉 IDEA mybatis配置文件的局部背景颜色(图解)
08-27
"去掉 IDEA mybatis 配置文件的局部背景颜色(图解)" 本文将为大家详细介绍如何去掉 IntelliJ IDEA mybatis 配置文件的局部背景颜色及 mybatis 对应的 xml 文件警告的方法图解。 mybatis 配置文件的局部...
Mybatis 配置文件xml$与#的区别
u013131716的博客
09-12 745
Mybatis $与#的区别 1.$是将传入的数据直接显示生成sql语句 ${}: 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换 举例说明: select id,name,age from student where id =${id}, 当前端把id值1,传入到后台的时候, 就相当于 select id,name,age from student where ...
#和$的区别
C18298182575的博客
07-13 9343
MyBatis:#和$的区别 一、结论   #{}:占位符号,好处防止sql注入   ${}:sql拼接符号 二、具体分析 动态 SQLmybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } 和 ${ } 会有不同的表现。 #{ }:解析为一个 JDBC 预编译语句(prepa
sql $和# 的区别以及作用
qq_40308117的博客
04-15 1381
#{} mysql #{}表示占位符,相当与jdbc的?,可以很大程度地防止注入攻击(可百度百科sql注入攻击) 后面的花括号{}的值直接替换?并转化字符串,举例: select * from user where id = #{id},id = 1 sql语句就变为 select * from user where id = ‘1’ ${} ${} 就是将值直接传进{}里面...
SQL#与$的区别
weixin_47918681的博客
09-23 3473
一 、在这里用到了#{},使用#时: 1、用来传入参数,sql在解析的时候会加上” “,当成字符串来解析 ,如这里 role_id = “roleid”; 2、#{}能够很大程度上防止sql注入; 延伸: 1、用{roleId,jdbcType=INTEGER},那么sql在解析的时候值为roleId = roleId,执行时会报错; 2、${}方式无法防止sql注入; 3、$一般用入传入数据库对象,比如数据库表名; 4、能用#{}时尽量用#{}; 注意: mybaties排序时使用order by 动态参
MyBatis #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1212
1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
mybatis,#和$有何区别
03-01
它使用XML或注释来定义SQL语句,通过配置文件将Java对象映射到SQL语句,并提供了许多高级映射功能,例如一对多、多对一、一对一等映射关系。MyBatis还提供了许多插件,可以扩展其功能,并支持与Spring等框架的无缝...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值