#{}和${}获取对象参数的异同点

最新推荐文章于 2024-08-02 16:18:07 发布
最新推荐文章于 2024-08-02 16:18:07 发布
阅读量816 收藏 3
点赞数 1
分类专栏: Web开发技术 文章标签: #{} ${}
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41604862/article/details/79771554
版权

sql语句中#{}和${}的区别

  1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。 如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”
  2. $将传入的数据直接显示生成在sql中。如:order by userid,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sql为order by id
  3. #方式能够很大程度防止sql注入;$方式无法防止Sql注入
  4. $方式一般用于传入数据库对象,例如传入表名
  5. 默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值。这样做很安全,很迅速也是首选做法,有时只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用:
    ORDER BY ${columnName};

这里MyBatis不会修改或转义字符串。

一般能用#的就别用 MyBatis使orderby 。 M y B a t i s 排 序 时 使 用 o r d e r b y 动 态 参 数 时 需 要 注 意 , 用 而不是#。
注意:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。

在mybatis中#与$获取参数区别

(1)区别:
    #{},相当于一个占位符,可以防止SQL注入的问题
    ${},用于字符拼接
    在使用上能用#,就用#这种方式。

(2)使用#的方式:
    如果参数是字符类型,那么在取值的时候会给参数加上双引号。
    参数String a = “hello”; #{a} —->”hello”;
    如果参数是基本类型,那么在取值的时候会原样获取,参数的值可以是任意值。
    如果参数是对象类型,那么取值时使用OGNL表达式获取。

(3)使用$的方式:

    如果参数基本类型,${value} ,value必须是值。
    如果参数是字符类型非字符,原样获取,不会为其加上双引号。
    如果参数是pojo(对象类型),使用OGNL(对象导航图语言)获取值。

may_123mm
关注
专栏目录
高性能计算平台建设——浅谈 OpenMP 和 CUDA 的异同
程序员光剑
08-27 428
随着计算机系统的不断发展、应用领域的扩展、硬件的普及,越来越多的人们期盼着能够实现更快的运算能力,更大的计算容量。同时,由于科技的进步,对算法设计要求也越来越高。所以,如何更好地充分利用现代计算机硬件资源、提升并行编程能力成为热门话题。最近两年来,以 NVIDIA CUDA 为代表的并行编程模型和框架已经成为非常热门的研究方向。它是一种面向GPU的并行编程模型,可以用来进行复杂的数据并行计算任务,尤其适合于高性能计算领域。
#{}和${}的区别
m0_54861649的博客
07-27 835
2.Mybatis在处理#{}的时候会将sql中的#{}替换成?{}没有这个功能,可以是sql手动拼接的,这里前后逻辑可能并不严密,但是sql入去最简单的例子就是这样。在使用mybatis的时候我们会使用到#{}和${}这两个符号来为sql语句参数。4.#{}的变量替换是在DBMS中、变量替换后,#{}对应的变量自动加上单引号。1.#{}是预编译处理,是占位符,${}是字符串替换,是拼接符。6.使用#{}可以有效的防止sql注入,提高系统的安全性。{}替换成变量的值,调用Statement来赋值。...
Mybatis使用#{}与${}获取参数值的区别
weixin_44706385的博客
11-16 221
Mybatis使用#{}与${}获取参数值的区别 区别: #{}:是一种预编译的形式,将参数设置在sql语句中,可以防止sql注入。类似于java中的预处理PrepareStatement。 ${}:取出的值会直接与sql语句进行拼接,再执行sql语句,可能会存在安全问题。 大多数的情况下,我们都会采用#{}来获取mybatis参数值,但是如果原生jdbc不支持占位符的地方我们就可以使用${}进行...
Mybatis实战:#{} 和 ${}的使用区别和数据库连接池
最新发布
LHY537200的博客
08-02 1545
{} 和 ${}#{} 和 ${} 在MyBatis框架中都是用于SQL语句中参数替换的标记,但它们在使用方式和处理参数值上存在一些显著的区别。特1.1Interger类型的参数1.先看Interger类型的参数2.观察日志3.查看日志中的输出语句我们输⼊的参数并没有在后⾯拼接,id的值是使⽤?进⾏占位. 这种SQL 我们称之为"预编译SQL"。4.我们把#{}改成${}5.再次查看输出日志信息可以看到, 这次的参数是直接拼接在SQL语句中了。
#{}与${}的区别
热门推荐
weixin_44863976的博客
09-08 1万+
#{}与${}的区别 区别 1. #{} 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符;而${}仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。 2. #{} 解析之后会将String类型的数据自动加上引号,其他数据类型不会;而${} 解析之后是什么就是什么,他不会当做字符串处理。 3...
mybatis # 和$ 获取接收参数值的区别
蚂蚁吞象
03-24 169
Mybatis 执行 入口是 DefaultSqlSession.selectOne()方法,可以通过debut这个方法,去查看这个原理。Mybaitis 封装了JDBC ,执行时会将我们注解(@Select) 或 Mapper 中的 Sql 和参数进行处理,并交给 PreparedStatement 来执行。 比如Mybatis 的sql语句如下: SELECT * FROM ${table_name} WHERE name = #{name} AND password = #{password.
#{}和${}的区别:
weixin_50977434的博客
11-10 2520
简单明了实用
Cookie和Session的异同
czx1826488201的博客
03-30 327
1. Cookie 1) 定义: 文本信息,记录用户状态的文本信息 2)注意: 【1】Cookie是和站相关的,并且每次向服务器请求的时候除了发送表单参数外,还会将和站相关的所有Cookie都提交给服务器 【2】Cookie保存在浏览器端,而且浏览器会在每次请求时把这个站相关的Cookie提交到服务器,且服务器返回的Cookie更新回数据库***因此可以将信息保存在Cookie中,然后在...
jQuery函数map()和each()介绍及异同分析
10-25
最后,对比一下map()和each()的异同。首先,map()主要是用来对集合中的元素进行映射,并返回一个新数组,而each()是用来遍历集合中的元素,并对每个元素执行回调函数,返回的是原数组。其次,map()方法在回调函数...
sql与nosql异同
Good_omen的博客
06-13 1033
1.Oracle数据库体系结构的构成。 2.SQL和NoSQL的异同及各自优势所在。 关系型数据主要有: SqlServer、Mysql、oracle、access、SQLite、MariaDB等。 非关系型数据库主要有: Redis、MongoDB、Neo4j、CouchDB等。 关系型数据库优缺: 高度组织化结构化数据,数据和关系都存储在单独的表中,SQL语言划分成不同的模块语句进行操作。 比如数据操纵语言,数据定义语言,严格的一致性,基础事务的相关操作。 优 1、易于维护:都是使用表结构,
函数与函数式编程异同浅谈
hdxx2022的博客
03-16 340
根据我们提到过的知识,理解这个例子其实很简单,其中的难估计就在于set方法的处理上,为了具有更多的适用性,做了很多适配,用到了递归等知识。虽然对于还在学习中的大家来说,redux是一个有高深莫测的东西,但是在我们学习之前,可以先通过简单的方式,让大家大致了解状态管理器的实现原理,为我们未来的学习奠定坚实的基础。所谓"第一等公民"(first class),指的是函数与其他数据类型一样,处于平等地位,可以赋值给其他变量,也可以作为参数入另一个函数,或者作为别的函数的返回值。
新人一看就懂: #{} 和 ${} 的区别?
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
面试突击76:${} 和 #{} 有什么区别?
Chenhui98的博客
08-23 457
{}${}是直接替换,而 #{} 是预处理;2、使用场景不同:普通参数使用 #{},如果递的是 SQL 命令或 SQL 关键字,需要使用${},但在使用前一定要做好安全验证;3、安全性不同:使用${}存在安全问题,而 #{} 则不存在安全问题。来源:https://juejin.cn/post/7134865815001628702。
Mybatis之一个SQL语句说清#{}和${}的区别
wuud__的博客
02-16 313
先创建一个方法用来进行测试,方法对应xml文件内的sql语句如下 <select id="getMoreById" resultType="cn.mybatis.demo1.model.User"> select * from User where id= ${start_id} or id = #{end_id} </select> 修改Myba...
#{} 和 ${} 的区别?
weixin_45817985的博客
07-13 3200
#{}与${}
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值