Mybatis中#和$的区别

最新推荐文章于 2023-07-19 08:31:43 发布
最新推荐文章于 2023-07-19 08:31:43 发布
阅读量499 收藏 1
点赞数 1
文章标签: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39607417/article/details/79101572
版权

首先通过下面两条sql及打印的执行sql,清楚明了的看一下它们的区别:

<select id="selectUserInfo" parameterType="java.util.Map" resultType="java.util.Map">
    select 
        *
    from 
        user 
    where 
        userId=${id} password=#{pwd} 
</select>
假设入参传入的是1,打印执行sql如下: 
Preparing:select * from user where id=1 and password=111111 

<select id="selectUserInfo" parameterType="java.util.Map" resultType="java.util.Map">
    select 
        * 
    from 
        user 
    where 
        userId=#{id} and password=#{pwd}
</select>

同样入参传入1,打印的执行sql如下: 
Preparing:select * from user where id=? and password=? 
Parameters:1(String),111111(String)

MyBatis启用了预编译功能,在SQL执行前,会先将上面的SQL发送给数据库进行编译;执行时,如果入参为#{}格式的,将入参替换编译好的sql中的占位符“?”;如果入参格式为${},则直接使用编译好的SQL就可以了。因为SQL注入只能对编译过程起作用,所以使用#{}入参的方式可以很好地避免了SQL注入的问题。

mybatis预编译底层实现原理 
MyBatis是如何做到SQL预编译的呢?其实在框架底层,是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行同一个SQL时,能够提高效率。原因是SQL已编译好,再次执行时无需再编译。

总结 
#{}:相当于JDBC中的PreparedStatement 
${}:是输出变量的值 
简单说,#{}是经过预编译的,是安全的;${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。

番外(sql注入) 
还是以上面的两条sql为例,入参id的值传入“1 or userId=2”,入参pwd的值传入“111111”。以#{}格式传入入参后的执行sql: 
select * from user where userId=”1 or userId=2” and password = “111111”; 
以${}格式传入入参后的执行sql: 
select * from user where userId=1 or userId=2 and password = 111111;

很显然,${}格式传入入参后的执行sql打乱了我们的预期sql格式及查询条件,从而实现sql注入。所以,除了order by 等需要传入数据库字段等的入参使用${},其他的尽量使用#{}


原文链接 :  http://blog.csdn.net/u013399093/article/details/54095274


扶木
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mybatis学习文档
weixin_47356044的博客
08-29 2583
mybatis-9.28 环境: JDK1.8 mysql 8.0.16 maven3.6.1 IDEA 回顾: JDBC mysql jave基础 Maven junit 1.简介 1.1 什么是mybatismybatis是支持普通SQL查询、存储过程和高级映射的优秀持久层框架。 MyBatis 是一款优秀的持久层框架 支持自定义 SQL、存储过程以及高级映射 MyBatis 免除了几乎所有的 JDBC 代码以及设置参数和获取结果集的工作 MyBatis
mybatis面试题#$区别.pdf
04-24
mybatis面试题#$区别.pdf
MyBatis #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1148
1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
【超详细】MyBatis详解
weixin_48373085的博客
01-20 1万+
Mybatis
Mybatis$#
sillyyyy的博客
05-08 2446
在SQL语句执行时,Mybatis会将$占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用$占位符可以在某些情况下提高SQL语句的性能,因为在预编译时不需要处理参数占位符。#用于预编译,表示参数占位符,例如:#{username}。在SQL语句执行时,Mybatis会将占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用#占位符可以有效地防止SQL注入攻击,因为Mybatis会将参数值转义后再替换占位符。使用哪种占位符取决于具体的需求,如果需要防止SQL注入攻击,则应该使用#占位符;
一文解惑mybatis#{}和${}
最新发布
一个菜鸡的博客
07-19 3368
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
浅谈mybatis#$区别
09-02
下面小编就为大家带来一篇浅谈mybatis#$区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
浅谈Mybatis #$区别以及原理
08-18
主要介绍了浅谈Mybatis #$区别以及原理,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Mybatis#{}和${}传参的区别#$区别小结
09-02
主要介绍了Mybatis#{}和${}传参的区别#$区别小结 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
Mybatis下动态sql##$$区别讲解
08-26
今天小编就为大家分享一篇关于Mybatis下动态sql##$$区别讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
MyBatis#{}和${}的区别
m0_67683346的博客
02-28 4462
MyBatis#{}和${}的区别
什么是MyBatis
雷东宸的博客
01-16 2万+
MyBatis是什么?为什么要用MyBatis?一文搞定!!!
MyBatis${} 和 #{} 有什么区别
分享Java技术知识,共同成长进步!
09-14 5606
${} 和 #{} 都是 MyBatis 用来替换参数的,它们都可以将用户传递过来的参数,替换到 MyBatis 最终生成的 SQL ,但它们区别却是很大的,接下来我们一起来看。 1.功能不同 ${} 是将参数直接替换到 SQL ,比如以下代码: 最终生成的执行 SQL 如下: 从上图可以看出,之前的参数 ${id} 被直接替换成具体的参数值 1 了。 而 #{} 则是使用占位符的方式,用预处理的方式来执行业务,我们将上面的案例改造为 #{} 的形式,实现代码如下: 最终生成的 S
mybatis#{}和${}的区别
Zhangsama1的博客
08-27 4609
​1:尽量使用#{},只要能使用#{}解决,尽量使用#{}​2:表名作为参数,使用order by排序的时候使用${}3:多参数的时候尽量使用@Param注解,@Param注解作用为给参数命名,命名后即可根据名字得到对应的参数值​。...
MyBatis——谈谈占位符(#$)的理解与使用
热门推荐
胜天半子祁同伟
03-02 2万+
MyBatis——谈谈占位符(#$)的理解与使用
mybatis#{}和${}
submorino的专栏
11-25 2363
mybatis#{}和${} 1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1)   1)#{}为参数占位符?,即sql 预编译   2)${}为字符串替换,即sql 拼接 (2)   1)#{}:动态解析 ->预编译-> 执行   2)${}:动态解析 ->编译-> 执行 (3)   1)#{}的变量替换是在DBMS   2)${}...
Mybatis#{}和${}的用法
li_w_ch的博客
11-17 1万+
1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。 比如, select * from student where student_name = #{studentName} 如果传入的值为xiaoming,那么解析成sql的值为student_name="xioming"。 2、${}将传入的数据直接显示生成在sql。 如 : select ${fieldNmae} from student where student_age = 18 此时,传入的参数作为要查询的字
mybatis#$区别
06-07
MyBatis#$都是用于替换SQL语句的占位符的符号,但它们的处理方式不同。 #号表示占位符,通过预编译的方式将传入的参数值进行安全的替换,防止SQL注入攻击,同时将参数值转换为对应的JDBC类型。例如: ``...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值