Mybatis中sql语句 # 和 $的区别

最新推荐文章于 2023-11-24 15:09:55 发布
最新推荐文章于 2023-11-24 15:09:55 发布
阅读量264 收藏
点赞数
分类专栏: 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40922656/article/details/107048578
版权

写mabatis的 sql语句时遇到的关于# 和 $ 使用问题,今天做一下总结。

传入参数:(@param(“ids”),string ids);
sql语句 : select * from t where id in (#{ids});
结果: 当ids传入为string 1,2,3 时,得出效果只是查到了id=1的数据
原因: 原来#{xxx}是一个字符串,mybatis只会当他是一个值,解析成sql语句相当于 select * from t where id in “1,2,3”,此时 1,2,3相当于一个字符串。
解决办法1:想实现查多条效果,用${ids}
把ids当成字符串传进来
解决办法2:
select * from t where id in #{id}。注意要把ids对象成数组[1,2,3]才生效。

1、 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id =‘1’.

2、$ 将传入的值直接显示生成sql语句,eg:select id,name,age from student where id =${id},前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id = 1.

3、#方式能够很大程度防止sql注入,$方式无法防止sql注入

孟孟_mengmeng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis的#和$的区别
qq_27811247的博客
06-22 4万+
在学校的时候,想必大家肯定听老师讲过,在mybatis,配置参数要用#,不要用$符号。因为$不安全,容易被sql注入。讲是这么讲,但是如何注入的,大家一起来看看吧。 一:下面我们写个关于“#”的个sql,看能不能注入。 <select id="selectUser" resultMap="BaseResultMap"> SELECT ...
mybatis#与$的区别
测试架构师养成记的博客
06-19 122
前言 最近在写代码过程遇到一个问题,这里简单做下描述。本意想写如下这么一条SQL。 SELECT t.id, t.name, t.version, t.module, t.test_type, t.platform, t.test_case, t.test_group FROM UI_TEST_SUIT AS t WHERE t.id in (1,2); 库确实存在id为1,2的这两条记录,...
Mybatis 的Mapper.xml语句parameterType向SQL语句传参有两种方式 SQL注入!!!
qq690452074的专栏
09-04 872
Mybatis 的Mapper.xml语句parameterType向SQL语句传参有两种方式:#{}和${} 我们经常使用的是#{},一般解说是因为这种方式可以防止SQL注入,简单的说#{}这种方式SQL语句是经过预编译的,它是把#{}间的参数转义成字符串,举个例子: select * from student where student_name = #{name} 预编译后,会动态解析成一个参数标记符?: select * from student where student_name = ? 而
代码扫描,漏洞检测
tiantian1980的专栏
11-24 281
在序列化类,调用一些危险方法,例如反射相关的方法,同时如果应用对用户输入,即不可信数据,没有进行校验就进行反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程就有可能带来任意代码执行。变量名称直接使用SQL指令,将会存在一定风险,当SQL指令所需的数据来源于不可信赖的数据源时,可能会导致SQL注入。如果攻击者能够替代username的任意字符串,它们可以使用下面的关于username的字符串进行SQL注入。,该PRNG是可移植和可重复的,如果两个。
MyBatis遇到的小问题
qq_31200607的博客
07-17 233
1.SQL注入                在Mybatis Mapper xml,#变量名称创建参数化查询SQL语句,不会导致SQL注入,而$变量名称直接使用SQL指令,会导致SQL注入攻击。例如:     &lt;select id="findByUserName"  resultMap="base" parameterType="String"&gt;          selec...
MyBatis “#{}“和”${}“的区别
Silas 蝈蝈 博客
06-24 7774
“#{}“和”${}“的区别
MyBatis ${}和 #{}千万不要乱用
小布1994的博客
07-26 3万+
1、#{}是预编译处理,MyBatis在处理#{ }时,它会将sql的#{ }替换为?,然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号,如上面的值 “4,44,514”就会变成“ ‘4,44,514’ ”; 2、是字符串替换,在处理是字符串替换,MyBatis在处理时,它会将sql的{}是字符串替换,在处理{ }是字符串替换, MyBat...
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis,使用Mapper.xml文件来定义SQL语句,并使用#{ }和${ }来传递参数。那么,在Mybatis下动态sql##和$$的区别是什么呢? 首先,我们需要了解的是,Mybatis在对SQL语句进行预编译之前,会对SQL语句进行...
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
浅谈Mybatis #和$区别以及原理
08-18
Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别Mybatis,#和$都是占位符,但是它们...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
首先,`#{}`是MyBatis的预编译参数占位符,它会将传入的参数值转化为PreparedStatement的参数,即在SQL语句执行前,MyBatis会将`#{}`的内容替换为`?`,然后在执行时安全地设置参数值。例如,`name = #{name}`在...
MyBatis#{}和${}的区别详解
09-01
SQL语句使用`#{}`时,MyBatis会将传入的值转化为一个问号(?)代表的参数,例如`WHERE user_id = #{user_id}`。这样做的好处是能够防止SQL注入攻击,因为数据库会将这些参数视为预定义的值,而不是直接拼接到SQL...
mybatis传入ids String类型参数异常
{丸の子}
10-05 1115
在使用mybatis时,写了一条sql语句,只有一个String类型的参数, 示例代码 [code="java"] SELECT t.activity_id AS "activityId", COUNT(1) AS "count" FROM t_user t...
Mybatis @Select注解,使用in传入ids数组作为参数
lizhengyu891231的博客
04-08 5441
转载自:https://blog.csdn.net/qq_2300688967/article/details/81186420 在使用ids集合作为参数时,首先想应该是如下做法: @Select("select id, name, user_id from label where id in <foreach collection=\"ids\" index = ...
Mybatis @Select注解,使用in传入ids数组作为参数
热门推荐
qq_2300688967的博客
07-24 4万+
在使用ids集合作为参数时,首先想应该是如下做法: @Select("select id, name, user_id from label where id in &lt;foreach collection=\"ids\" index = \"index\" item = \"id\" open= \"(\" separator=\",\" close=\")\&quot
Mybatissql语句的#号和$号的区别
m0_46672151的博客
03-20 1256
1、#{变量名} #{变量名}可以进行预编译、类型匹配等操作,#{变量名}会转化为jdbc的类型。 select * from tableName where id = #{id} 假设id的值为12,其如果数据库字段id为字符型,那么#{id}表示的是‘12’;如果是整型,则id的值为12; 并且Mybatis会将上面SQL语句转化为jdbc的 select * from tableName where id =?,把?参数值设置为id的值。 这种方式使得sql语句是经过预编译的,它是把#{}间的
MybatisSQL语句#{}和${}的区别
xp_xpxp的博客
06-30 728
1>.#{}是预编译处理,${}是字符串替换; 2>.在动态SQL解析阶段,#{}和${}会有不同的表现: 例如SQL语句: select * from table where field1=#{xxx} AND field2=’${xxx}’; ①.#{}会被解析为一个JDBC预编译语句(prepared statement)的参数标记符占位符?,之后再调用PreparedStatement的set方法来赋值.上面的SQL语句就被解析为: ...... field1=? ②.${}仅仅为一
pillow_heif-0.17.0-pp39-pypy39_pp73-macosx_14_0_arm64.whl
最新发布
07-27
基本介绍 名称与起源:Pillow,原名为PIL(Python Imaging Library),但PIL只支持Python 2版本。随着Python 3的普及,Pillow作为PIL的一个分支出现,兼容Python 3并提供更多的功能和改进。 主要功能:Pillow支持多种图像格式的打开、保存、显示以及基本的图像操作和处理,如裁剪、缩放、旋转、翻转、滤镜应用等。 跨平台性:Pillow库可以在不同的操作系统上运行,包括Windows、Linux和MacOS等。 主要功能模块 Pillow库包含多个功能模块,每个模块都提供了特定的图像处理功能。以下是一些常用的模块: Image:用于处理图像文件,提供打开、保存、调整大小、旋转、裁剪、滤镜等功能。 ImageDraw:提供在图像上绘制各种形状(如线条、矩形、圆形)和文本的功能。 ImageFont:用于加载和使用TrueType字体文件,以便在图像上绘制文本时设置字体样式、大小和颜色。 ImageFilter:提供各种滤镜效果,如模糊、锐化、边缘增强等,用于图像增强、特效处理和图像识别等应用。 ImageEnhance:用于调整图像的亮度、对比度、颜色饱和度等参数,使图像更加清晰、明亮或具有特定的调色效果。 高级功能 除了基本的图像处理功能外,Pillow还支持一些高级功能,如色彩空间转换、直方图均衡化等。这些功能可以帮助用户进行更复杂的图像处理和分析。
Mybatis模糊查询用#和$什么区别
03-28
SQL语句使用LIKE关键字可以做到模糊匹配,比如在查询名字包含“张”的用户时,可以使用如下语句: SELECT * FROM users WHERE name LIKE '%张%' 其%表示通配符,表示匹配任意字符,所以'%张%'可以匹配任意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值