mybatis中#{}和${}的区别

最新推荐文章于 2024-09-21 23:33:54 发布
最新推荐文章于 2024-09-21 23:33:54 发布
阅读量5.2k 收藏 25
点赞数 9
分类专栏: mybatis 文章标签: mybatis #{}与${}区别
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37776015/article/details/89931418
版权

本章节主要讲解mybatis中#{}和${}的区别

 

首先我们先通过代码事例查看下二者的区别:

在EmployeeMapper接口中有这么一个方法:

Employee getEmpByIdAndLastName(@Param("id")Integer id, @Param("lastName") String lastName);

在对应的EmployeeMapper.xml 映射文件中的sql语法:

<select id="getEmpByIdAndLastName" resultType="employee">
    select id,last_name ,email,gender from tbl_employee where id = ${id} and last_name = #{lastName}
</select>

测试代码:

public class MybatisTest {
    public SqlSessionFactory sessionFactory = null;

    @BeforeEach
    public void test()throws Exception{
    // 根据全局配置文件(xml)创建一个SqlSessionFactory对象
        String resource = "mybatis-config.xml";
        InputStream inputStream = Resources.getResourceAsStream(resource);
        sessionFactory = new SqlSessionFactoryBuilder().build(inputStream);
    }

    @Test
    public void selectTest(){
        // 获取 SqlSession 的实例 。SqlSession 完全包含了面向数据库执行 SQL 命令所需的所有方法。通过 SqlSession 实例来直接执行已映射的 SQL 语句
        SqlSession sqlSession = null;
        try {
            sqlSession = sessionFactory.openSession();
            // 通过获取接口代理对象来执行sql语句
            EmployeeMapper mapper = sqlSession.getMapper(EmployeeMapper.class);
            Employee employee = mapper.getEmpByIdAndLastName(2,"BB");
            System.out.println(employee.getLastName()); // AA
        } finally {
            // 资源关闭,放在finally中确保一定会执行
            sqlSession.close();
        }
    }
}

最终的执行结果为:

DEBUG 05-07 22:52:42,700 ==>  Preparing: select id,last_name ,email,gender from tbl_employee where id = 2 and last_name = ?   (BaseJdbcLogger.java:145) 
DEBUG 05-07 22:52:42,801 ==> Parameters: BB(String)  (BaseJdbcLogger.java:145) 
DEBUG 05-07 22:52:42,823 <==      Total: 1  (BaseJdbcLogger.java:145) 
BB

请注意:在日志记录中的sql语句为

select id,last_name ,email,gender from tbl_employee where id = 2 and last_name = ?

其中${id}直接被传入的参数所替代,而#{lastName}则是以预编译的方式变成?

总结:

相同点:

  • #{}:可以获取map中的值或者pojo对象属性的值;
  • ${}:可以获取map中的值或者pojo对象属性的值;


区别:

  • #{}:是以预编译的形式,将参数设置到sql语句中;PreparedStatement;防止sql注入
  • ${}:取出的值直接拼装在sql语句中;会有安全问题;

注意:大多情况下,我们去参数的值都应该去使用#{};
        

什么情况下使用${}:

        原生jdbc不支持占位符的地方我们就可以使用${}进行取值,比如列名、分表、排序。。。 

// 按照年份分表
select * from ${year}_salary where xxx;

// 排序
select * from tbl_employee order by ${f_name} ${order}

#{}更丰富的用法

首先,像 MyBatis 的其他部分一样,参数也可以指定一个特殊的数据类型。

#{property,javaType=int,jdbcType=NUMERIC}

像 MyBatis 的其它部分一样,javaType 几乎总是可以根据参数对象的类型确定下来,除非该对象是一个 HashMap。这个时候,你需要显式指定 javaType 来确保正确的类型处理器(TypeHandler)被使用。

提示 JDBC 要求,如果一个列允许 null 值,并且会传递值 null 的参数,就必须要指定 JDBC Type。阅读 PreparedStatement.setNull()的 JavaDoc 文档来获取更多信息。

要更进一步地自定义类型处理方式,你也可以指定一个特殊的类型处理器类(或别名),比如:

#{age,javaType=int,jdbcType=NUMERIC,typeHandler=MyTypeHandler}

尽管看起来配置变得越来越繁琐,但实际上,很少需要如此繁琐的配置。

对于数值类型,还有一个小数保留位数的设置,来指定小数点后保留的位数。

#{height,javaType=double,jdbcType=NUMERIC,numericScale=2}

最后,mode 属性允许你指定 IN,OUT 或 INOUT 参数。如果参数的 mode 为 OUT 或 INOUT,就像你在指定输出参数时所期望的行为那样,参数对象的属性实际值将会被改变。 如果 mode 为 OUT(或 INOUT),而且 jdbcType 为 CURSOR(也就是 Oracle 的 REFCURSOR),你必须指定一个 resultMap 引用来将结果集 ResultMap 映射到参数的类型上。要注意这里的 javaType 属性是可选的,如果留空并且 jdbcType 是 CURSOR,它会被自动地被设为 ResultMap。

#{department, mode=OUT, jdbcType=CURSOR, javaType=ResultSet, resultMap=departmentResultMap}

MyBatis 也支持很多高级的数据类型,比如结构体(structs),但是当使用 out 参数时,你必须显式设置类型的名称。比如(再次提示,在实际中要像这样不能换行):

#{middleInitial, mode=OUT, jdbcType=STRUCT, jdbcTypeName=MY_TYPE, resultMap=departmentResultMap}

尽管所有这些选项很强大,但大多时候你只须简单地指定属性名,其他的事情 MyBatis 会自己去推断,顶多要为可能为空的列指定 jdbcType。

#{firstName}
#{middleInitial,jdbcType=VARCHAR}
#{lastName}

 

 

毒毒毒毒丶
关注
专栏目录
mybatis #与$的区别
10-09 7万+
MyBatis/Ibatis#和$的区别 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".   2. $将传入的数据直接显示生成在sql。如:order by $us
MyBatis # 和 $ 的区别
脚印
01-03 1130
#相当于对数据加上双引号,$相当于直接显示数据 #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sq 时的值为:order by “111”;如果传入的值是id,则解析成的sql为:order by “id” $将传入的数据直接显示生成在sql。如:order by useriduser_iduser...
MyBatis - #{} 和 ${}
最新发布
m0_74859835的博客
09-21 736
mybatis - #{ } 和 ${ } 的使用区别,预编译SQL 和 即时SQL 的优缺点,及SQL注入问题
MyBatis模糊查询 -- #{} & ${}之间的区别
weixin_43708793的博客
04-02 602
1、MyBatis模糊查询实现: 1.1、#{} 方式的模糊查询持久层: <select id="queryUserInfoByUserName" parameterType="String" resultType="Model.UserCRUDModel"> <!-- 使用#{} 模糊查询 --> select * from user wh...
Mybatis$和#区别
Grace
10-09 1436
一、总结:      #{ }:占位符,防止sql注入      ${ }:sql拼接符号 二、分析:     动态sql是mybatis的强大的特性之一。mybatis在对sql语句进行预编译之前会对sql进行动态解析,解析为一个BoundSql对象,也是在此处对动态SQL进行处理。     在动态SQL解析,#{ }和${ }不同:     #{ }解析为JDBC预编译语
Mybatis#{}与&{}的区别
qq_36525300的博客
05-25 4001
简述 在Mybatis的SQL xml映射文件,有关参数传递的方法有两种,分别为#{}和${}。而这两种方式之间存在一定的差异。 默认情况下,使用#{}格式的语法会导致Mybatis创建PreparedStatement参数并安全地设置参数(就像使用?一样)。这样做更安全,更迅速,通常也是首选做法,不过有时你就是想直接在SQL语句插入一个不转义的字符串。比如,像ORDER BY,你可以和这样来...
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
mybatis的#和$使用和区别
学无止境
02-27 930
mybatis的#和$使用和区别
mybatis &和#的区别
qq_37591449的博客
06-26 875
1.0概述 #{} : 采用预编译方式,可以防止SQL注入,#{}实现的是向prepareStatement的预处理语句设置参数值,sql语句#{}表示一个占位符即? ${}: 采用直接赋值方式,无法阻止SQL注入攻击,他是直接拼接sql字符串的方式 2.0实例 2.1使用${} xml: <insert id="deptSave"> inser...
MyBatis#{}和${}的区别详解 区别
热门推荐
wwwwww33的博客
07-01 4万+
区别 1.#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id". 2.将传入的数据直接显示生成在sql。如:orderby将传入的数据直接显示生成在sql。如:orderbyuser_id$,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sq
Mybatis#{}和${}的区别
个人博客
09-07 1063
一、结论   #{}:占位符号,好处是防止sql注入。   ${}:sql拼接符号。 二、具体分析   动态 SQL 是 mybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } ...
mybatis # &
cool_and_gentle的博客
08-22 559
mybatis可以通过# $ 进程sql拼接 拼接后的sql其实并没有什么不同 但在预编译阶段 #{} ${} 的处理是不同的 #{} 在预编译阶段会处理成一个占位符 ${} 只是简单的字符串拼接 #{} 的参数替换是发生在 DBMS ,而 ${} 则发生在动态解析过程 所以 &{}会产生sql注入的问题 什么是DBMS DBMS 是“数据库管理系统”的简称(全称 DataBase Management System)。 实际上它可以对多个数据库进行管理,所..
Mybatis的#{} 和 ${}区别、联系及用法
CJW的博客
04-13 1555
Mybatis的 #{} 和 ${}区别于联系 一般业务开发或学习时,最需要注意的是:当我们的数据库表名作为参数或者利用order by进行查询结果排序时需要使用${},其他情况尽量使用#{},能够防止SQL注入,反正就是一句话,除了特殊情况,能用#{}尽量用#{}。 1. 联系 #{} 和 ${}都能够使Mybatis实现动态传递参数; 2. 区别 作用:#{}直接给数据加增加一对儿引号,${}则是直接显示数据,数据本身是啥就是啥。 在动态获取id时,#{}的位置 id = ? ,是一个占位符.
MyBatis-$&#的区别
其实我也没有太多期盼,毕竟一生太短,少有圆满
02-27 1390
动态sql是mybatis的主要特性,在mapper定义的参数传到xml之后,在查询之前mybatis会对其进行动态解析,mybatis支持两种动态sql语法:#{ }以及${ } #是将传入拉丝的值当做字符串形式 $是将传入的数据直接显示生成sql语句 #可以防止sql注入, #{ }:解析一个jdbc预编译语句的参数标记,一个#{ } 被解析为一个参数占位符。 ${ } : 仅仅作为一纯粹...
Mybatis #{}和 ${}的区别是什么?
甜到你了么的博客
06-21 186
#{}是预编译处理,${}是字符串替换; Mybatis在处理#{}时,会将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值; Mybatis在处理${}时,就是把${}替换成变量的值; 使用#{}可以有效的防止SQL注入,提高系统安全性。 ...
mybatis#和$的区别
06-07
MyBatis,#和$都是用于替换SQL语句的占位符的符号,但它们的处理方式不同。 #号表示占位符,通过预编译的方式将传入的参数值进行安全的替换,防止SQL注入攻击,同时将参数值转换为对应的JDBC类型。例如: ``...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值