MyBatis中#{}和${}的用法

于 2023-12-31 12:11:17 发布
阅读量623 收藏 9
点赞数 8
分类专栏: 笔记 文章标签: mybatis 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37726813/article/details/135314788
版权

一、例子

1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。

比如:

select * from student where student_name = #{studentName}

如果传入的值为zhangsan,那么经过Mybatis解析完成之后的语句是:

select * from student where student_name="zhangsan"

2、${}将传入的数据直接显示生成在sql中。

比如:

select ${fieldName} from user where user_age = 22

此时,传入的参数作为要查询的字段,如果传入的值为user_name,则解析成的sql为:

select user_name from user where user_age = 22

二、区别

  1. #{}方式能够很大程度上防止sql注入,${}无法防止sql注入。

  2. ${}方式一般用于传入数据库对象,例如列表和表名,#{}方式一般用来传递接口传输过来的具体数据。

  3. 由于#{}方式具有更高的安全行,所以能用#{}的地方尽量不要使用${}

  4. Mybatis排序时使用order by动态参数时需要注意,用${}而不是#{}

  5. #符号(Pound Sign

    • #符号用于参数值的占位,会将参数值进行预编译,并在执行SQL语句时将参数值安全地传递给数据库,防止SQL注入攻击。

    • 适用于大多数情况,尤其是当参数值来自用户输入或不可信数据时,是更安全的选择。

    • 参数值会被自动转义,不需要担心特殊字符的处理。

    • 使用#符号会产生预编译的SQL语句,可以提高数据库的性能,因为数据库可以缓存相同的预编译语句。

    • <!-- 使用#符号进行参数占位 -->
<select id="getUserById" parameterType="int" resultType="User">
  SELECT * FROM users
  WHERE id = #{userId}
</select>

  6. $符号(Dollar Sign

    • $符号用于简单的值替换,不进行预编译,直接将参数的值嵌入SQL语句中。

    • 适用于那些不需要参数值预编译,且参数值是确定且可信的情况,比如用于动态拼接SQL语句的情况。

    • 使用$符号时,需要小心防止SQL注入攻击,需要手动处理参数值的安全性。

    • 不会产生预编译的SQL语句,可能会导致数据库性能较低,因为每次SQL语句都会重新解析和执行。

    • <!-- 使用$符号进行简单值替换 -->
<select id="getUserByName" parameterType="string" resultType="User">
  SELECT * FROM users
  WHERE username = '${username}'
</select>

三、最后说一下$动态 拼接SQL

下面是一个实例:

<select id="getUsersWithDynamicSorting" parameterType="map" resultType="User">
  SELECT * FROM users
  WHERE 1=1 <!-- 为了方便拼接,可以始终使用一个始终成立的条件 -->

  <!-- 根据参数动态拼接排序字段和排序顺序 -->
  <if test="sortField != null and sortOrder != null">
    ORDER BY ${sortField} ${sortOrder}
  </if>

</select>
Mr.D.Chuang
关注
  • 8
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
一些特殊SQL使用Mybatis#{}和${}注意点
神笔码农.的博客
10-18 2042
Mybatis对JDBC进行了进一步封装,使得我们可以更加便捷的使用Java操作数据库。#{}和${}在大部分情况下,#{}和${}都能相互替代,使用两者之一即可,更加推荐使用#{},因为可以防止SQL注入问题,但是由于#{}和${}本质上的不同,部分SQL语句使用#{}和${}需要格外注意。
Mybatis#{}和${}的区别
江黎
03-15 768
MyBatis基础入门4:#{}和${}传参的使用区别
weixin_43183850的博客
05-02 3103
mybatis传参的两种方式:#{}和${}
mybaties的映射文件里#{}的用法
qq_36597923的博客
12-28 247
调用dao接口的方法传进去的参数,会放到映射文件的sql语句里面处理,其#{}就起到了获取参数对应值得作用。 ${}只能单纯地将字符串拼接,会出现sql注入的问题,而#{}则不会。 #{}的几种用法: 1.填属性值,如果传了一个student对象过来,则可以用#{name},#{age}等表示对应属性。 2.占位符,#{xxx},#{000}等。代表传过来的基本数据类型的值。
Mybatis使用${}和使用#{}
书启鸿蒙知秋枫
11-21 1971
Mybatis在对#{}进行预处理时,会把#{}处理成占位符,实际执行的时候才会把参数替换进去,相当于jdbc的PreparedStatement。上面这个配置实际打印出来的sql为这样有效的预防了sql注入。上面这个配置实际打印出来的sql为${} 则只是简单的字符串替换,在动态解析阶段,该 sql 语句会直接将变量值替换进去,这样就有可能会发生sql注入的风险。
Mabitis#$符号区别及用法介绍
08-31
主要介绍了Mabitis#$符号区别,需要的朋友可以参考下
详解Mybatis${} 和 #{}区别与用法
08-18
主要介绍了Mybatis${} 和 #{}区别与用法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
MyBatis ${}和 #{}的正确使用方法(千万不要乱用)
08-18
主要介绍了MyBatis ${}和 #{}的正确使用方法,本文给大家提到了MyBatis ${}和 #{}的区别,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Mybatis@Param的用法和作用详解
08-29
主要介绍了Mybatis@Param的用法和作用,在文给大家补充了spring@param和mybatis@param使用区别,需要的朋友可以参考下
mybatis foreach collection的用法小结(三种)
08-29
主要介绍了mybatis foreach collection的用法小结(三种),需要的朋友可以参考下
Mybatis#{}和${}的用法
li_w_ch的博客
11-17 1万+
1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。 比如, select * from student where student_name = #{studentName} 如果传入的值为xiaoming,那么解析成sql的值为student_name="xioming"。 2、${}将传入的数据直接显示生成在sql。 如 : select ${fieldNmae} from student where student_age = 18 此时,传入的参数作为要查询的字
(八)Mybatis#{}常用属性的用法
怪咖@的博客
11-11 3010
这篇文章主要讲述Mybatis#{}常用属性的用法,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。 #{}占位符的属性 这是他的一些属性,当然本篇文章重点讲解在开发当我们会用到的一些属性。 javaType、 jdbcType、 mode(存储过程)、 numericScale、 resultMap、 typeHandler、 jdbcTypeName、 expression(未来准备支持的功能); 用法#{age ,jdbcType=TINYINT ,jav
Mybatis${} 和 #{}区别与用法
热门推荐
j04110414的专栏
12-27 6万+
Mybatis 的Mapper.xml语句parameterType向SQL语句传参有两种方式:#{}和${} 我们经常使用的是#{},一般解说是因为这种方式可以防止SQL注入,简单的说#{}这种方式SQL语句是经过预编译的,它是把#{}间的参数转义成字符串,举个例子: select * from student where student_name = #{name}  预编译后,会动
MyBatis使用#{ } or ${}
玩游戏的猴子
04-09 895
Mybatis 的Mapper.xml语句parameterType向SQL语句传参有两种方式:#{}和${}。常见是使用#{ }来防止SQL注入,这里又设计jdbc的预处理机制 当使用 #{}的时候 在动态解析的时候, 会解析成一个参数标记符 select * from user where name = #{name,jdbcType=VARCHAR}; mysql 会把它转换成 ...
mybatis使用${}的样例
easyT的博客
10-27 2098
&gt; 在mapper.xml使用${}时,目前我也就只知道必须要利用一个对象封装一下你要传的参数(或者利用注解参数来实现),例子我使用的是MySqls对象,封装要直接传递的sql语句。`如果直接在mapper接口定义String类型的参数,不封装一层对象,报错(String 里面没有当前传递的参数属性)` 封装一层对象的方式实现: mybatis注解参数的实现方式: 利...
MyBatis${}与#{}的区别以及jdbcType什么时候使用
CocoaWang的博客
08-27 7424
一、MyBatis${}与#{}的区别 区别1:最终执行的SQL不同 当传入的参数name='123'的时候: 1 select * from user where name = #{name} 最终执行的SQL为:select * from user where name = '123' 2 select * from user where name = ${name}...
MyBatis#{}和${}的不同和${}的妙用
Marvel__Dead 胡艺宝的博客
04-14 1万+
突然意识到sql语句的独特语义要和代码分离,我们就不能够在代码写sql语句!!比如我要用${}在MyBatis的sql拼接排序类型的时候,我就不能够在Java代码直接写参数字符串为Order By哪儿个类型#{}和${}的基本不同我就不想说了,这里要说的是进一步对占位符和字符拼接的字面语义的领悟!!#{}和${}基本不同在这篇文章的最后有提到过占位符:占位符就是在某个地方占领一个位置,把它单独
MyBatis用法
qq_23835497的博客
03-22 193
1.占位符 #{} ${}    一般参数传递用#{},sql执行时参数带引号“”    在进行group by 或order by 的时候,使用${},sql执行的时候不带引号原则:能用#的地方不要用$,避免sql注入,更加安全,列个例子供参考:(1)#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时...
mybatis#$的区别
最新发布
08-06
MyBatis 可以使用简单的 XML 或注解来配置和映射原语,将接口和 Java 的 POJO 映射到数据库的记录。 ### 回答2: MyBatis是一个开源的持久层框架,它可以与关系型数据库进行交互。在使用MyBatis时,我们需要定义...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mr.D.Chuang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值