Mybatis 中$和#

最新推荐文章于 2024-02-23 22:58:22 发布
最新推荐文章于 2024-02-23 22:58:22 发布
阅读量260 收藏
点赞数 1
文章标签: $/#
原文链接:https://blog.csdn.net/qiulinsama/article/details/90369482
版权

开头

这是一次代码优化过程中发现的问题,在功能优化后发现部分数据查不到出来了,问题就在于一条sql上的#和$。

下图为两条sql:
在这里插入图片描述
在这里插入图片描述
从图上可以看出 wwlr.LabelId in(KaTeX parse error: Expected 'EOF', got '#' at position 33: …wlr.LabelId in(#̲{showLabels}),其…处理的方式是不一样的。
区别

1、#{ }是预编译处理,MyBatis在处理#{ }时,它会将sql中的#{ }替换为?,然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号,如上面的值 “4,44,514”就会变成“ ‘4,44,514’ ”;

2、 是 字 符 串 替 换 , M y B a t i s 在 处 理 { }是字符串替换, MyBatis在处理 MyBatis{ }时,它会将sql中的${ }替换为变量的值,传入的数据不会加两边加上单引号。

注意:使用${ }会导致sql注入,不利于系统的安全性!

SQL注入:就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。常见的有匿名登录(在登录框输入恶意的字符串)、借助异常获取数据库信息等

应用场合:

1、#{ }:主要用户获取DAO中的参数数据,在映射文件的SQL语句中出现#{}表达式,底层会创建预编译的SQL;

2、 : 主 要 用 于 获 取 配 置 文 件 数 据 , D A O 接 口 中 的 参 数 信 息 , 当 { }:主要用于获取配置文件数据,DAO接口中的参数信息,当 :,DAO,出现在映射文件的SQL语句中时创建的不是预编译的SQL,而是字符串的拼接,有可能会导致SQL注入问题.所以一般使用$接收dao参数时,这些参数一般是字段名,表名等,例如order by ${column}。

alen_ly
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MyBatis使用$#所遇到的问题及解决办法
09-01
主要介绍了MyBatis使用$#所遇到的问题及解决办法的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
MyBatis-Plus自定义字符串替换格式化策略的深度解析与实践
奇妙的Bug之旅
01-09 409
MyBatis-Plus,我们可以使用注解来定义实体类的属性映射到数据库表的字段。其,formatter属性可以用来指定一个自定义的格式化器,用于对字段值进行格式化。格式化器可以是一个实现了接口的类,或者是一个实现了接口的类。要实现自定义的字符串替换格式化策略,我们需要创建一个实现了接口的类。这个类的主要任务是接收一个对象作为参数,然后返回一个字符串作为结果。在这个类,我们可以重写format方法来实现自定义的格式化逻辑。
使用mybatisInterceptor依据自定义注解来拦截SQL语句,并将语句的表名替换掉
月夜流心的博客
05-29 639
/自定义拦截器类 @Component @Intercepts({// 替换SQL String originalSql =(String) metaObject . getValue("delegate.boundSql.sql");log . info("拦截后sql :" + newSql);// 调用插件 return Plugin . wrap(target , this);// 设置拦截器属性 } /*** 判断是否有此注解。
mysql- 窗口函数和 in筛选的两个错误
m0_46093829的博客
05-05 1126
一、窗口函数错误分析 就是这个窗口函数,你看我在这个题里运行起来就没问题 但是在上边这个题目,如果我也用窗口函数,我这样写就有错误,改为下图方法: 然后我在想错在哪里了呢?是不是因为我用那个 select row_number( )......(后边的程序我就不写了) 创建了一个新表,里面包含了新列 rn。但是activity没有rn 这一列,所以我必须再在这个新表上重新查询一次。 二:用in 的时候两个筛选 #请编写一个 SQL 查询,描述每一个玩家首次登陆的设备名称
Mysql报错:ERROR 1241 (21000): Operand should contain 2 column(s)
weixin_53676834的博客
02-23 900
【代码】Mybatis总结二。
09-MyBatis 占位符#$
鸣鼓ming的博客
01-14 1145
1.#占位符 #占位符告诉 mybatis 使用实际的参数值代替。并使用 PrepareStatement 对象执行 sql 语句, #{…}代替 sql 语句的“?”。这样做更安全,更迅速,通常也是首选做法. xml <select id="getUserById" resultType="com.limi.entity.User"> <!--要执行的 sql 语句--> select * from t_user where id = #{
log4j打印mybatis执行sql,将占位符换成真实的参数输出
li_Sponge_Crazy_的博客
08-09 5448
背景: 在我日常码代码的时候,由于对mybatis的动态sql,比较依赖,并且有时候需求复杂,导致sql较长,而且参数众多,当出现问题是,需要将sql,放到navicat里面去执行查看结果,但是对于复杂的sql来说,众多的参数,一个一个替换。当真很麻烦,于是萌生出可不可以将sql直接输出,不在出线sql和参数分开的情况,可以减少很多麻烦,在我找度娘,一次又一次的尝试,我还是没有发现,在log4j
Mysql语句报错Operand should contain * column解决办法
星期⑧博客
09-06 2760
Mysql错误问题各种各样的今天 在维护一个网站时碰到Mysql错误Operand should contain * column,下面一起来看问题解决步骤。 使用了sql语句处理某些内容。当执行某个语句时,Mysql报错误:Operand should contain 1 column 字面意思是,需要有1个数据列。  我的sql语句类似这样:  update cdtable set cdc...
Mybatis学习笔记:#{}占位符与${}字符串替换的区别?
山鬼谣的专栏
03-22 1379
1、#{}是预编译处理,$ {}是字符串替换 (1)#{} 表示一个占位符,采用preparedStatement给占位符设置值,自动进行java类型和jdbc类型转换,进行预编译处理,#{}可以有效防止sql注入(预编译是提前对SQL语句进行编译,而其后注入的参数将不会再进行编译) (2)${} 表示字符串替换,通过${}可以将parameterType或实体 传入的内容拼接在sql且不进行jdbc类型转换 举例说明二者区别,现在有如下SQL: select count(1) from user whe
浅谈mybatis#$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis#$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Mybatis#{}和${}传参的区别及#$的区别小结
09-02
主要介绍了Mybatis#{}和${}传参的区别及#$的区别小结 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
Java Mybatis${ } 和 #{ }的区别使用详解
08-18
主要介绍了Mybatis${ } 和 #{ }的区别使用详解,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
MyBatis ${}和 #{}的正确使用方法(千万不要乱用)
08-18
主要介绍了MyBatis ${}和 #{}的正确使用方法,本文给大家提到了MyBatis ${}和 #{}的区别,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
MySQL in, some, all等用法的讨论
gerogeya的专栏
11-05 940
(本文SQL语句均在Mysql v5.1验证) mysql> select * from t1; +----+--------+ | id | value1 | +----+--------+ |  1 |     10 | |  2 |   NULL | |  3 |     10 | |  4 |      3 | +----+--------+ 4 r
【8015】解决mybatis${}替换#{}配参报错java.sql.SQLSyntaxErrorException: Unknown column ‘XXX‘ in ‘where clause
Caojian_0的博客
09-27 1958
【8015】解决mybatis${}替换#{}配参报错java.sql.SQLSyntaxErrorException: Unknown column ‘XXX‘ in ‘where clause
mybatis错误:Operand should contain 1 column(s)
JSPkiller的博客
04-10 3621
运行mybatis时报了org.apache.ibatis.exceptions.PersistenceException: ### Error querying database.  Cause: java.sql.SQLException: Operand should contain 1 column(s)既然是sql报错,应该是sql语句写错了,然后我看了下语句发现少写了连接函数。原句是这...
MyBatis#{}和${}的区别(参数替换和字符串替换)
★【World Of Moshow 郑锴】★
06-05 5409
文翻译 Parameters部分: Parameters参数是MyBatis非常强大的元素,正常来说90%以上的情况你要用的,都应该是#{}。 1.parameter mapping,命名参数映射。如果你传入的参数是一个对象(指复杂对象,非Integer或者String这些简单的),用paramterType="object"的情况,可以直接用#{attribute}取值。 <!--by...
mybatis如何使用自定义函数
coolma的专栏
05-05 2287
mybatis如何使用自定义函数
“推荐系统”相关资源推荐
最新发布
06-14
推荐了国内外对推荐系统的讲解相关资源
Mybatis$#的区别, $的应用场景
04-23
#的区别是什么? Mybatis$#都用于动态SQL语句的参数绑定,但它们之间有几个区别: 1. #用于预编译,$用于值传递。#会将参数放入预编译语句的占位符,可以避免SQL注入,但会使SQL语句无法重用;$将参数直接拼接进SQL,可以重用SQL语句,但有SQL注入的风险。 2. #可以自动进行类型转换,$不能自动转换。#会根据目标类型自动转换参数类型,$需要手动进行类型转换。 3. #可以在SQL使用占位符,$不能使用。#可以在SQL语句使用占位符进行模糊查询等操作,$只能直接拼接参数值。 因此,在使用Mybatis时,应根据具体的业务场景和需求选择使用#$

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值