mybatis里面动态传参${} 和#{}的区别

最新推荐文章于 2024-06-20 16:38:57 发布
最新推荐文章于 2024-06-20 16:38:57 发布
阅读量2.5k 收藏 2
点赞数 2
分类专栏: java mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37557563/article/details/107163315
版权

 

 

他们的区别一句话概括:#{name}对数据 加上 双引号,${name} 直接显示数据。

 

1、#{name}把传入的参数视为字符串,会预编译,

例子:select * from a where name = #{name}  入参name=哈哈

其实相当于 select * from a where name ="哈哈",

2、${name} 不会进行预编译,

例子:select * from a where name = #{name} ,入参name=哈哈,

其实相当于 select * from a where name =哈哈,

 

什么时候用${}  什么时候用#

 (1)当你入参传过来的是一个字符串你可以用# 

 (2) 入参是一个数值 可以用${}

 (3) MyBatis排序时使用order by 动态参数时,用$而不是#

  (4)动态传表名字的时候,用$而不是#(select * from ${tableName} )

建议:能用#{}尽量用#  #的优势就在于它能很大程度的防止sql注入,而$则不行

例子:如果前台查询调用查询a表数据sql

mybatis sql:select * from a where name=#{name} and state= #{state},如果前台传来的名称是“哈哈”,state字段是 “0 or state=1”,用#的方式就不会出现sql注入,而如果换成$方式,sql语句就变成了 select * from a where name=哈哈 and state= 0 or state=1。这样的话就形成了sql注入。

小吴先生666
关注
专栏目录
填坑MyBatis中Integer类型传参问题
小小渔夫
07-07 873
MyBatis传参Integer类型未生效的问题
MyBatis笔记10】Mybatis中几个动态SQL标签和内置参数
✅ Java 开发工程师,从事 Web 应用程序的研发,擅长 Spring、SpringBoot 等技术。 ✅ 热爱编程,业余时间学习新知识,通过 CSDN 记录学习心得和笔记内容。
09-02 874
bind标签是用于绑定参数的,它可以对输入参数拼接一些其他的内容,然后将拼接好的整体一起拼接到SQL语句上面,例如:模糊查询的时候需要拼接【%】符号,这种情况就可以使用bind标签,并且使用bind标签处理模糊查询可以解决SQL注入问题。上面代码中,假设我们传递的输入参数username值是:【2022】,那么经过bind标签参数绑定之后,新的username参数值等于【%2022%】,这样就实现了模糊查询的SQL。sql标签用于抽取公用的SQL代码,定义sql标签的时候需要通过【id】属性设置唯一标识。
mssql 将查询结果作为表名参数_mybatis动态调用表名和字段
weixin_39838758的博客
12-02 679
一直在使用Mybatis这个ORM框架,都是使用mybatis里的一些常用功能。今天在项目开发中有个业务是需要限制各个用户对某些表里的字段查询以及某些字段是否显示,如某张表的某些字段不让用户查询到。这种情况下,就需要构建sql来动态传入表名、字段名了。现在对解决方法进行下总结,希望对遇到同样问题的伙伴有些帮助。 动态SQL是mybatis的强大特性之一,mybatis在对sql语句进行预编译之前,...
mybatis #{}和${}的区别
热门推荐
wangml的博客
10-29 1万+
他们之间的区别用最直接的话来说就是:#相当于对数据 加上 双引号,$相当于直接显示数据。 1、#对传入的参数视为字符串,也就是它会预编译,select * from user where name = #{name},比如我传一个csdn,那么传过来就是 select * from user where name = 'csdn'; 2、$将不会将传入的值进行预编译,select * from...
mybatis 传递参数的7种方法
最新发布
weixin_44471566的博客
06-20 1279
这就传参方式的优点是比较方便,controller层使用@RequestBody接收到实体类参数后,直接传递给mapper层调用即可,不需要在进行参数的转换。foreach元素的属性主要有 item,index,collection,open,separator,close。在实际开发过程中,增删改查操作都要涉及到请求参数的传递,今天这节就集中讲下在mybatis中传递参数的7中方法。2.如果传入的是单参数且参数类型是一个array数组的时候,collection的属性值为array。
mybatis传参$和#的区别
weixin_37630333的博客
08-28 535
mybatis传参$和#的区别 #{}将传入的参数当成一个字符串,会给传入的参数加一个双引号 ${}将传入的参数直接显示生成在sql中,不会添加引号 <!-- 根据条件查询 符合条件的数据 --> <select id="getOneByParam" resultMap="BaseResultMap" parameterType="java.lang.String">...
mybatis中#和$传参区别
leo
03-05 675
#{a} 会按照类型替换, 如果a 是string, 那么最后的结果为‘ssss’ a是文本替换,如果a是String,那么最后的结果也为ssss,{a}是文本替换,如果a是String,那么最后的结果也为ssss, {}主要用在**group by, order by 后面 具体来讲一下吧:**使用#传入参数是,sql语句解析是会加上"",比如 select * from table wher
mybatis 传参的2种方式#{}与${}区别
qq_1411的博客
03-29 508
我现在就用mybatis框架,传参时会用到#{}、${},但是我一直用#{}传参的,就我知道的区别写下吧,日后发现不同再改#{}:标识占位符,向占位符传入参数,mybatis会自动将java类型转换成jdbc类型,预编译时,不传入参数而是用?占位,不易出现sql注入问题;${}:标识sql拼接,通过${}接收参数,将参数的内容不加修饰的传入sql,易发生sql注入,不安全;...
Mybatis中的 ${} 和 #{}区别与用法
YJB666的专栏
12-10 460
Mybatis中的 ${} 和 #{}区别与用法 Mybatis 的Mapper.xml语句中parameterType向SQL语句传参有两种方式:#{}和${} 注意:由于$是参数直接注入的,导致这种写法,大括号里面不能注明jdbcType,不然会报错 弊端:可能会引起sql的注入,平时尽量避免使用${...} 注意:因为#{...}解析成sql语句时候,会在变量外侧自动...
Mybatis中的StatementType与动态解析时#{}和${}的不同
weixin_41062002的博客
06-28 417
背景,写一个需求,展示数据的结果需要将查询出来的结果列转行,但是发现需要列转行的数据是动态的,没办法确定有多少个,所以需要动态的拼接sql处理。 起初设想是在MyBatis里面动态拼接,然后尝试多次放弃了。。。 要动态拼接的sql如下,下面是静态固定的几个列,实际需要查出来循环拼接的: 然后选择在java控制层去处理了: 【1】java中拼接,重点标注了底色: List<PageData> flNameList = xinchouService.getZiDuanByStatus(p
mybatis自定义传参排序
huaiyan
04-24 3760
<!--工单列表展示--> <select id="getVirtualTaskDetailAndInfo" parameterType="map" resultType="map"> SELECT t.id, t.task_num, t.apply_num, t.province, t.cit...
MyBatis#{}与${}区别动态传入字段名问题解决
乐只悠悠
09-05 2644
MyBatis动态传入字段名或表名解决 MyBatis #{}与${}区别
MyBatis之#{}与${}的区别
小异常的博客
03-11 227
本篇博客主要讲解的是 MyBatis 中两种 动态 SQL 的语法:#{} 和 ${}。 相信大学在学习 MyBatis 的时候,都会使用到 #{},而对 ${} 没怎么用过和见过,那是因为现在 #{} 已经彻底替换了 ${},使用 ${} 太不安全了。
mybatis中#{}和${}传参区别
qq_24192465的博客
01-23 415
#{}  使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句中如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且在使用#{}时形成的sql语句,已经带有引号,例,select  * from table1 where id=#{id}  在调用这个语句时我们可以通过后台看到打印出的sql为:select * from ta...
Mybatis传参时使用$和#的区别
哈哈哈
07-28 793
一. 前言 很多小伙伴不太清楚Mybatis传参时使用$和#的区别,今天就来为大家解答一下 二. $和#的区别 <!-- public List<Emp> selectEmpByEmpNameLike(String empName,Integer startSize,Integer pageSize,List<Integer> ids); --> <select id="selectEmpByEmpNameLike" resultType="com.wa
mybatis参数的传递
swop_的博客
07-14 409
mybatis的参数传递 #{}he${} mybatis的参数传递有两种方式,分别是使用#{}和${}这两种方式之间存在一些差异#{}会解析为一个JDBC预编译语句(PreparedStatement)的参数标记符,简单来说就是一个占位符?而传入的参数将会经过的强制类型检查和安全检查等处理,最后作为一个合法的字符串传入.${}这种方式只会做简单的字符串替换,在动态SQL解析阶段将会进行变量替换....
MyBatis基础入门4:#{}和${}传参的使用区别
weixin_43183850的博客
05-02 3138
mybatis传参的两种方式:#{}和${}
mybatis使用笔记:谈谈#与$两种传参方式
码农之道
12-10 692
在使用mybatis的过程中,我们的传参方式有#{}和¥${}两种,很多时候我们都是推荐使用#{}这种方式,接下来我们就一起来看看这两者的区别与使用的场景: #{}方式能够很大程度防止sql注入。因为#{}这种方式SQL语句是经过预编译的,它是把#{}中间的参数转义成字符串。 $方式无法防止Sql注入。因为这种方式是将值传入后再编译sql语句。 $方式一般用于传入数据库对象,例如传入表名。!!!...
mybatis #{}和${}的区别传参、基本语法
wutongyuWxc的博客
11-28 4383
1 #{}和${}的区别、及注入问题 (1) 区别: 首先清楚一点,动态 SQL 是 mybatis 的强大特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析,#{} 和 ${} 在预编译中的处理是不一样的: 例如:select * from t_user where userName = #{name}; #{...
Mybatis动态传参时,使用#{}和${}的区别是什么?
06-09
MyBatis 中,`#` 和 `$` 都是用于参数的占位符,但是它们的作用是不同的。 `#` 是用来防止 SQL 注入攻击的,它会将参数值以安全的方式替换进 SQL 语句中,相当于是预编译的 SQL 语句参数。使用 `#` 可以有效避免 SQL 注入攻击,同时也可以防止 SQL 注入攻击带来的数据安全问题。 `${}` 则是直接将参数值替换进 SQL 语句中,相当于是 SQL 语句拼接。使用 `${}` 时需要注意,如果参数值来自用户输入,就可能存在 SQL 注入攻击的风险。 因此,在 MyBatis 中,建议使用 `#` 来传递参数,避免 SQL 注入攻击的风险。而使用 `${}` 则需要谨慎,只在确定参数值安全的情况下使用。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值