详细分析一下 #{}和${}的区别是什么

最新推荐文章于 2024-07-25 13:07:58 发布
最新推荐文章于 2024-07-25 13:07:58 发布
阅读量5.9k 收藏 28
点赞数 8
分类专栏: mybatis 文章标签: sql 数据库 mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40277163/article/details/124756536
版权

正确的答案是:#{}是预编译处理,${}是字符串替换。

(1)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值。

(2)mybatis在处理 时 , 就 是 把 {}时,就是把 {}替换成变量的值。

(3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输入非法参数,也不会对SQL的结构产生影响,从而避免了潜在的安全风险。

(4)预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。我们知道,SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。

补充:

$符号一般用来当作占位符,常使用Linux脚本的人应该对此有更深的体会吧。例如:$1, 2 等 等 表 示 输 入 参 数 的 占 位 符 。 知 道 了 这 点 就 能 很 容 易 区 分 2等等表示输入参数的占位符。知道了这点就能很容易区分 2和#,从而不容易记错了。

{} 方式

#{}: 解析为SQL时,会将形参变量的值取出,并自动给其添加引号。 例如:当实参username="Amy"时,传入下Mapper映射文件后

 
    <select id="findByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username=#{value}
    </select>

SQL将解析为:

SELECT * FROM user WHERE username="Amy"

${} 方式

${}: 解析为SQL时,将形参变量的值直接取出,直接拼接显示在SQL中

例如:当实参username="Amy"时,传入下Mapper映射文件后

<select id="findByName" parameterType="String" resultMap="studentResultMap">
    SELECT * FROM user WHERE username=${value}
</select>

SQL将解析如下:

SELECT * FROM user WHERE username=Amy

显而该SQL无法正常执行,故需要在mppaer映射文件中的${value}前后手动添加引号,如下所示:

<select id="findByName" parameterType="String" resultMap="studentResultMap">
    SELECT * FROM user WHERE username='${value}'
</select>

SQL将解析为:

SELECT * FROM user WHERE username='Amy'

适用场景

由于SQL注入的原因,${}和#{}在都可以使用的场景下,很明显推荐使用#{}。这里除了上文的WHERE语句例子,再介绍一个LIKE模糊查询的场景(username = “Amy”):

<select id="findAddByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username LIKE '%${value}%'
    </select>

该SQL解析为:

SELECT * FROM user WHERE username LIKE '%Amy%';

上述通过${}虽然可以实现对包含"Amy"对模糊查询,但是不安全,可以改用#{},如下所示:

<select id="findAddByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM USER WHERE username LIKE CONCAT('%', #{username}, '%')
    </select>

该SQL解析为下文所示,其效果和上文方式一致

SELECT * FROM USER WHERE username LIKE CONCAT('%', 'Amy','%');

只能使用${}的场景

由于#{}会给参数内容自动加上引号,会在有些需要表示字段名、表名的场景下,SQL将无法正常执行。现举一例说明:

期望查询结果按sex字段升序排列,参数String orderCol = “sex”,mapper映射文件使用#{}:

<select id="findAddByName3" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY #{value} ASC
</select>

则SQL解析及执行结果如下所示,很明显 ORDER 子句的字段名错误的被加上了引号,致使查询结果没有按期排序输出

SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY 'sex' ASC;

在这里插入图片描述
这时,现改为${}测试效果:

<select id="findAddByName3" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY ${value} ASC
 </select>

则SQL解析及执行结果如下所示:

SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY sex ASC;

在这里插入图片描述

黄泥川水猴子
关注
  • 8
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
面试突击76:${} 和 #{} 有什么区别
Chenhui98的博客
08-23 431
{}${}是直接替换,而 #{} 是预处理;2、使用场景不同:普通参数使用 #{},如果传递的是 SQL 命令或 SQL 关键字,需要使用${},但在使用前一定要做好安全验证;3、安全性不同:使用${}存在安全问题,而 #{} 则不存在安全问题。来源:https://juejin.cn/post/7134865815001628702。
jquery中$(#form :input)与$(#form input)的区别
10-25
本文将详细解释jQuery选择器$(#form :input)与$(#form input)之间的区别,并阐释它们各自的用途和场景。 首先,要理解$(#form :input)与$(#form input)在语法和功能上的差异。在jQuery中,“#”符号表示id选择器,...
#{}和${}的区别是什么?
yangAugust的博客
11-29 585
a、#{}是预编译处理,${}是字符串替换。 b、Mybatis 在处理#{}时,会将 sql 中的#{}替换为?号,调用 PreparedStatement 的 set 方法来赋值; c、Mybatis 在处理时,就是把{}时,就是把时,就是把{}替换成变量的值。 d、使用#{}可以有效的防止 SQL 注入,提高系统安全性。 ...
【${} 和 #{} 有什么区别
最新发布
m0_50116974的博客
07-25 977
{}${}是直接替换,而 #{} 是预处理;2、使用场景不同:普通参数使用 #{},如果传递的是 SQL 命令或 SQL 关键字,需要使用${},但在使用前一定要做好安全验证;3、安全性不同:使用${}存在安全问题,而 #{} 则不存在安全问题。
#{}与${}的区别
热门推荐
weixin_44863976的博客
09-08 1万+
#{}与${}的区别 区别 1. #{} 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符;而${}仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。 2. #{} 解析之后会将String类型的数据自动加上引号,其他数据类型不会;而${} 解析之后是什么就是什么,他不会当做字符串处理。 3...
mybatis #{}和${}的区别是什么
weixin_30895603的博客
04-16 1611
#{}和${}的区别是什么?正确的答案是:#{}是预编译处理,${}是字符串替换。(1)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值。(2)mybatis在处理${}时,就是把${}替换成变量的值。(3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输...
#{} 和 ${} 的区别
weixin_45817985的博客
07-13 3125
#{}与${}
浅谈Mybatis #和$区别以及原理
08-18
Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别Mybatis中,#和$都是占位符,但是它们...
浅谈linux中shell变量$#,$@,$0,$1,$2的含义解释
09-15
了解它们之间的区别对于正确地解析用户输入至关重要。 **示例:** ```bash echo "Arguments as a single string: '$*'" echo "Arguments as separate strings: '$@'" ``` #### $# - 参数个数 `$#` 表示传递给脚本...
堆和栈的详细分析
07-28
### 堆和栈的详细分析 #### 一、引言 在计算机科学与软件工程领域,堆(heap)和栈(stack)是两种极为重要的内存管理机制。这两种内存分配方式各自具有独特的特点和用途,对于理解程序运行时内存管理至关重要。 #...
详细分析无刷电机和有刷电机的区别
07-14
### 详细分析无刷电机和有刷电机的区别 #### 一、有刷电机与无刷电机的基本概念 **有刷电机**与**无刷电机**是两种常见的电动机类型,它们各自具有独特的特点和应用场景。 - **有刷电机**:早期电机设计中的一种...
#{}和${}的区别
weixin_50977434的博客
11-10 2498
简单明了实用
动态分析和静态分析有什么区别
01-09
动态分析和静态分析是两种不同的分析方法,它们在分析对象、分析方式和应用场景上存在区别。 动态分析是通过观察和记录系统在运行时的行为来进行分析。它通常需要运行程序,并收集程序在运行过程中的数据,如输入、输出、内存使用情况等。动态分析可以提供更加详细和准确的信息,因为它可以考虑到程序的实际执行情况。动态分析常用于调试、性能优化和安全分析等领域。 静态分析是在不运行程序的情况下对程序进行分析。它通过检查程序的源代码或二进制代码来获取信息。静态分析可以帮助发现代码中的潜在问题,如潜在的错误、不一致性和安全漏洞等。静态分析通常更快速,但可能会产生误报或遗漏一些问题。静态分析常用于代码审查、代码质量评估和自动化测试等领域。 总结一下,动态分析是在程序运行时观察和记录行为,而静态分析是在不运行程序的情况下对代码进行分析。动态分析提供更加详细和准确的信息,适用于调试和性能优化等场景。静态分析更快速,适用于代码审查和自动化测试等场景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值