09-MyBatis 占位符#和$

最新推荐文章于 2024-03-12 22:35:08 发布
最新推荐文章于 2024-03-12 22:35:08 发布
阅读量1.1k 收藏 1
点赞数 2
分类专栏: MyBatis入门 文章标签: java intellij-idea java-ee
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41865229/article/details/122488959
版权

1.#占位符

在这里插入图片描述

#占位符告诉 mybatis 使用实际的参数值代替。并使用 PrepareStatement 对象执行 sql 语句, #{…}代替
sql 语句的“?”。这样做更安全,更迅速,通常也是首选做法.

xml

    <select id="getUserById" resultType="com.limi.entity.User">
        <!--要执行的 sql 语句-->
        select * from t_user where id = #{id}
    </select>

dao

    User getUserById(int id);

    @Test
    public void test1() throws IOException {

        SqlSession sqlSession = MyBatisUtil.getSqlSession();
        UserDao userDao = sqlSession.getMapper(UserDao.class);
        //上面这行代码等价于UserDao userDao = new UserDaoImpl();

        //使用dao接口操作数据库
        User user = userDao.getUserById(2);
        System.out.println(user);

        sqlSession.close();  //关闭会话一定要在数据库操作执行之后
    }

//转为 MyBatis 的执行是:
//String sql=” select * from t_user where id = ?”;
//PreparedStatement ps = conn.prepareStatement(sql);
//ps.setInt(1,2);

在这里插入图片描述

2. $占位符

$ 字符串替换,告诉 mybatis 使用 $ 包含的“字符串”替换所在位置。使用 Statement 把 sql 语句和${}的
内容连接起来。主要用在替换表名,列名,不同列排序等操作。

1.属性值参数

作为属性值参数时, 规则为${ 属性变量}, 注意属性变量的`值要加引号, 如name = " ‘cindy’ "

xml

    <select id="getUserByName" resultType="com.limi.entity.User">
        <!--要执行的 sql 语句-->
        select * from t_user where user_name = ${name}
    </select>

//${}表示字符串连接,把sq1语句的其他内容和${}里的内容使用字符串(+)连接的方式连在一起
//select * from t_user where user_name = ${name};
//mybatis创建 statement对象,执行sql语句。
//Statement stmt conn createStatement(sql):Resultset rs = stmt.executeQueryo

dao

List<User> getUserByName(@Param("name") String name);

a. 不加单引号的情况

    @Test
    public void test6() throws IOException {
        SqlSession sqlSession = MyBatisUtil.getSqlSession();
        UserDao userDao = sqlSession.getMapper(UserDao.class);
        //上面这行代码等价于UserDao userDao = new UserDaoImpl();
        //使用dao接口操作数据库
        List<User> userList = userDao.getUserByName("cindy");
        userList.forEach(user -> System.out.println(user));
        sqlSession.close();  //关闭会话一定要在数据库操作执行之后
    }

在这里插入图片描述

b. 所以要注意加上单引号

    @Test
    public void test6() throws IOException {
        SqlSession sqlSession = MyBatisUtil.getSqlSession();
        UserDao userDao = sqlSession.getMapper(UserDao.class);
        //上面这行代码等价于UserDao userDao = new UserDaoImpl();
        //使用dao接口操作数据库
        List<User> userList = userDao.getUserByName("'cindy'");
        userList.forEach(user -> System.out.println(user));
        sqlSession.close();  //关闭会话一定要在数据库操作执行之后
    }

在这里插入图片描述

c. 但是其实我们并不推荐使用这种方式来传递属性值参数, 因为会出现sql注入风险
比如下面的代码, 我把参数写成"‘cindy’ or id > 0"

    @Test
    public void test6() throws IOException {
        SqlSession sqlSession = MyBatisUtil.getSqlSession();
        UserDao userDao = sqlSession.getMapper(UserDao.class);
        //上面这行代码等价于UserDao userDao = new UserDaoImpl();
        //使用dao接口操作数据库
        List<User> userList = userDao.getUserByName("'cindy' or id > 0");
        userList.forEach(user -> System.out.println(user));
        sqlSession.close();  //关闭会话一定要在数据库操作执行之后
    }

就会执行select * from t_user where user_name = ‘cindy’ or id > 0 , 从而暴露了整个数据库表的数据
在这里插入图片描述
虽然不推荐使用${}来传递属性值参数, 但是它也有一些巧妙用法, 比如用来传递列名或者表名

2.列名或表名参数

xml

    <select id="getAllUser" resultType="com.limi.entity.User">
        <!--要执行的 sql 语句-->
        select * from t_user order by ${column} desc
    </select>

dao

    List<User> getAllUser(@Param("column") String column);

a. 输入"user_name"作为排序参数

    @Test
    public void test6() throws IOException {
        SqlSession sqlSession = MyBatisUtil.getSqlSession();
        UserDao userDao = sqlSession.getMapper(UserDao.class);
        //上面这行代码等价于UserDao userDao = new UserDaoImpl();
        //使用dao接口操作数据库
        List<User> userList = userDao.getAllUser("user_name");
        userList.forEach(user -> System.out.println(user));
        sqlSession.close();  //关闭会话一定要在数据库操作执行之后
    }

在这里插入图片描述
b. 输入"id"作为排序参数

    @Test
    public void test6() throws IOException {
        SqlSession sqlSession = MyBatisUtil.getSqlSession();
        UserDao userDao = sqlSession.getMapper(UserDao.class);
        //上面这行代码等价于UserDao userDao = new UserDaoImpl();
        //使用dao接口操作数据库
        List<User> userList = userDao.getAllUser("id");
        userList.forEach(user -> System.out.println(user));
        sqlSession.close();  //关闭会话一定要在数据库操作执行之后
    }

在这里插入图片描述

表名参数的传递也是同理, 在此不做重复介绍.

鸣鼓ming
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MyBatis-Plus 如何自定义字符串替换格式化策略(正则表达式)的全局模式和局部模式
奇妙的Bug之旅
01-09 649
MyBatis-Plus中,字符串替换格式化策略是通过实现接口来实现的。我们需要自定义一个字符串替换的格式化策略,并在该策略中实现自己的正则表达式替换逻辑。// 自定义替换逻辑 String formattedIncrementerName = incrementerName . replaceAll(REGEX , "");} }
MyBatis-Plus自定义字符串替换格式化策略(正则表达式)的标志位和分组捕获组编号引用格式详解
奇妙的Bug之旅
01-09 415
在开发过程中,我们经常需要对数据库中的字符串进行替换操作。MyBatis-Plus提供了强大的字符串替换功能,支持使用正则表达式进行格式化。本文将详细介绍如何使用MyBatis-Plus自定义字符串替换格式化策略,包括标志位和分组捕获组编号的引用格式。通过本文的介绍,我们了解了如何使用MyBatis-Plus自定义字符串替换格式化策略,并掌握了正则表达式的标志位和分组捕获组编号引用格式。来匹配数字,并通过分组捕获组编号引用格式将匹配到的数字替换为实际值。的自定义字符串替换格式化策略类,实现了。
Mybatis日志参数快速替换占位符工具的详细步骤
08-18
主要介绍了Mybatis日志参数快速替换占位符工具的详细步骤,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
MyBatis拦截器四种类型和自定义拦截器的使用流程
最新发布
相关项目可以查看https://gitee.com/fan-pl或https://github.com/fpl1116
03-12 1707
MyBatis拦截器四种类型和自定义拦截器的使用流程
MyBatis中的#{}和${}的区别(参数替换字符串替换)
★【World Of Moshow 郑锴】★
06-05 5379
中文翻译 Parameters部分: Parameters参数是MyBatis中非常强大的元素,正常来说90%以上的情况你要用的,都应该是#{}。 1.parameter mapping,命名参数映射。如果你传入的参数是一个对象(指复杂对象,非Integer或者String这些简单的),用paramterType="object"的情况,可以直接用#{attribute}取值。 <!--by...
MyBatis-Plus自定义字符串替换格式化策略的深度解析与实践
奇妙的Bug之旅
01-09 395
MyBatis-Plus中,我们可以使用注解来定义实体类的属性映射到数据库表的字段。其中,formatter属性可以用来指定一个自定义的格式化器,用于对字段值进行格式化。格式化器可以是一个实现了接口的类,或者是一个实现了接口的类。要实现自定义的字符串替换格式化策略,我们需要创建一个实现了接口的类。这个类的主要任务是接收一个对象作为参数,然后返回一个字符串作为结果。在这个类中,我们可以重写format方法来实现自定义的格式化逻辑。
MyBatis基础 -- 参数传递、参数映射、注解开发、字符串替换、面试考察
十八岁讨厌编程的博客
04-29 2272
文章目录MyBatis中的参数传递多个参数单个参数注解开发 MyBatis中的参数传递 Mybatis 接口方法中可以接收各种各样的参数,如下: 多个参数 单个参数:单个参数又可以是如下类型 POJO 类型 Map 集合类型 Collection 集合类型 List 集合类型 Array 类型 其他类型 多个参数 如下面的代码,就是接收两个参数,而接收多个参数需要使用 @Param 注解,那么为什么要加该注解呢?这个问题要弄明白就必须来研究Mybatis 底层对于这些参数是如何处理的。 User
Mybatis 中$和#
qq_39482010的博客
12-03 247
开头 这是一次代码优化过程中发现的问题,在功能优化后发现部分数据查不到出来了,问题就在于一条sql上的#和$。 下图为两条sql: 在这里插入图片描述 从图上可以看出 wwlr.LabelId in(KaTeX parse error: Expected 'EOF', got '#' at position 33: …wlr.LabelId in(#̲{showLabels}),其…处理的方式是...
mybatis中的这些小细节你知道吗?
weixin_48826996的博客
07-18 279
用来定义代码片段,可以将所有的列名,或复杂的条件定义为代码片断,供使用时调用。用来引用定义的代码片段。
mybatis中的字符串替换
shawn的博客
10-03 4758
默认情况下,使用 #{} 格式的语法会导致 MyBatis 创建 PreparedStatement 参数占位符并安全地设置参数(就像使用 ? 一样)。 这样做更安全,更迅速,通常也是首选做法,不过有时你就是想直接在 SQL 语句中插入一个不转义的字符串。 比如,像 ORDER BY,你可以这样来使用: ORDER BY ${columnName} 这里 MyBatis 不会修改或...
mybatis #{}和${}
zhang1088632743的博客
01-09 403
#{}是预编译处理,${}是字符串替换mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值;mybatis在处理${}时,就是把${}替换成变量的值。使用#{}可以有效的防止SQL注入,提高系统安全性。 可以这样理解: 预编译的机制: 预编译就是是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。我们知道,SQL...
Spring及Mybatis整合占位符解析失败问题解决
08-18
主要介绍了Spring及Mybatis整合占位符解析失败问题解决,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
JavaEE示例-mybatis-spring-springMVC
12-16
本例子使用的是mybatis-spring-springMVC,占位符占位符占位符占位符占位符占位符占位符
mybatis 日志 sql参数替换工具
05-30
非常好用的,就是你们所要的 Mybatis日志参数快速替换占位符 sql参数替换工具html
mybatis-generic-crud:说明使用 GenericCrudMapper 和 GenericCrudService 的示例 MyBatis 模块
05-31
mybatis-generic-crud MyBatis 模块说明使用 ... 缺点(次要)是,是的,您仍然需要创建占位符映射器接口,并且仍然需要创建映射器 xml 文件和其中的相应 CRUD sql。 好处是,如果遵循将映射器方法命名为与Gen
mybatis中mapper.xml文件增删查改
chunchunlaila的博客
03-09 443
1.mybatis工作原理 2.查询 <select id="方法名" parameterType="方法参数类型" resultType="方法返回值类型,全类名" > select 表中字段名 AS 结果字段名 from 表名 where 条件 <!--注意:结果字段名与属性名保持一致,区分大小写--> </select> 3.插入 &lt...
MyBatis —— 5、获取参数值 #{} 和 &{}(五种情况)
Mr_zhangyj的博客
03-15 1608
MyBatis获取参数值的两种方式:${}和#{} ${}的本质就是字符串拼接,#{}的本质就是占位符赋值 ${} 使用字符串拼接的方式拼接 sql,若为字符串类型或日期类型的字段进行赋值时,需要手动加单引号;但是使用 #{} 占位符赋值的方式拼接sql,此时为字符串类型或日期类型的字段进行赋值时,可以自动添加单引号 1、单个字面量类型的参数 若mapper接口中的方法参数为单个的字面量类型,此时可以使用 ${} 和 #{} 以任意的名称(最好见名识意)获取参数的值,注意 ${..
MyBatis学习笔记
weixin_47866999的博客
07-16 408
MyBatis学习
Mybatis学习笔记:#{}占位符与${}字符串替换的区别?
山鬼谣的专栏
03-22 1359
1、#{}是预编译处理,$ {}是字符串替换 (1)#{} 表示一个占位符,采用preparedStatement给占位符设置值,自动进行java类型和jdbc类型转换,进行预编译处理,#{}可以有效防止sql注入(预编译是提前对SQL语句进行编译,而其后注入的参数将不会再进行编译) (2)${} 表示字符串替换,通过${}可以将parameterType或实体 传入的内容拼接在sql中且不进行jdbc类型转换 举例说明二者区别,现在有如下SQL: select count(1) from user whe
mybatis中使用#和$书写占位符有什么区别?
06-06
MyBatis中使用#和$书写占位符有什么区别? 在MyBatis中,使用#和$书写占位符都是用来替换SQL语句中的参数,但是它们的功能和作用是不同的。#代表参数预处理,它会将传入的值自动封装成对应的Java类型,可以防止SQL注入攻击,但是不能直接替换表名和列名。$代表参数直接替换,它会将传入的值直接替换到SQL语句中,可以用于替换表名和列名,但是容易发生SQL注入攻击。因此,在使用时需要根据具体情况选择使用哪种占位符

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值