深刻理解MyBatis中#{}和${}的区别

最新推荐文章于 2023-06-15 17:22:22 发布
最新推荐文章于 2023-06-15 17:22:22 发布
阅读量241 收藏
点赞数
分类专栏: 前端 数据库技能 JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41995919/article/details/102841929
版权
前端 同时被 3 个专栏收录
73 篇文章 0 订阅
订阅专栏
JAVA
70 篇文章 1 订阅
订阅专栏
数据库技能
12 篇文章 1 订阅
订阅专栏

示例:

首先看一下下面这两个sql语句的区别:

<select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap">
    select id, username, password, role
    from user
    where username = #{username,jdbcType=VARCHAR}
    and password = #{password,jdbcType=VARCHAR}
</select>
<select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap">
    select id, username, password, role
    from user
    where username = ${username,jdbcType=VARCHAR}
    and password = ${password,jdbcType=VARCHAR}
</select>

mybatis中的#和$的区别:

1、#{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号
如:where username=#{username},如果传入的值是111,那么解析成sql时的值为where username="111", 如果传入的值是id,则解析成的sql为where username="id". 
2、${}将传入的数据直接显示生成在sql中
如:where username=${username},如果传入的值是111,那么解析成sql时的值为where username=111;

3、针对上面的sql,如果传入的值是;drop table user;,

那么第一条用#{}的sql解析为:select id, username, password, role from user where username=";drop table user;"

那么第二条用${}的sql解析为:select id, username, password, role from user where username=;drop table user;

注意:使用#{}预编译时把值用 '' 引号包裹起来就变成了一个字符串的值,但是使用${}时,它是没有引号包裹,就是直接填充的,当输入 ;drop table user;时。实际是两条SQL语句了,这时候已经sql注入了。

3、#方式能够很大程度防止sql注入,$方式无法防止Sql注入。
4、$方式一般用于传入数据库对象,例如传入表名和列名,还有排序时使用order by动态参数时需要使用$ ,ORDER BY ${columnName}
5、一般能用#的就别用$,若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止sql注入攻击。
6、在MyBatis中,“${xxx}”这样格式的参数会直接参与SQL编译,从而不能避免注入攻击。但涉及到动态表名和列名时,只能使用“${xxx}”这样的参数格式。所以,这样的参数需要我们在代码中手工进行处理来防止注入。

【总结】在编写MyBatis的映射语句时,尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止SQL注入攻击。

图图小淘气_real
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
mybatis的#{}和${}的区别
jackzhang1996的博客
03-25 222
mybatis的#{}和${}的区别 FIRST 首先要搞清楚一个动态解析和预编译。动态解析可以理解为mybatis将mapper的sql解析为预编译语句可以认识的预编译sql;预编译就是PreparedStatement对sql进行编译,变为DBMS可以直接执行的sql。 SECOND #{}是占位符、防止sql注入,mybatis在动态解析的时候会将#{} 替换为? 然后用Prepared...
MyBatis #{} 和 ${} 区别
lpf11214的博客
02-29 403
#{} 和 ${} 区别
MyBatis 声明JdbcType. 如#{name,jdbcType=VARCHAR}
热门推荐
h927974926的博客
08-23 3万+
在我们结合MyBatis框架使用时,发现如下问题,当SQL语句为insert或者update时,如果其变量含有null值,会报错: ###Cause: java.sql.SQLException: JZ006: Caught IOException: java.io.IOException: JZ0SL: Unsupported SQL typexxx. 是由于MyBatis在进行操作的时,...
mybatis 关于jdbcType=VARCHAR
gjklop的博客
02-11 2万+
看到网上很多大牛的mybatis xml代码 其取值 都加上#{filter,jdbcType=VARCHAR} 一直很好奇。查询了一下 一些资料说是: 引用MyBatis 插入空值时,需要指定JdbcType mybatis insert空值报空值异常,但是在pl/sql不会提示错误,主要原因是mybatis无法进行转换, 所以一般在insert语句insert的对象加上jdbcType就可...
mybatis传参,看这一篇就够了
cxy_zxl的博客
08-06 1178
这篇文档使用于刚工作的朋友、或者说喜欢ctrlC+V的伙伴,会介绍一些基本的传参、然后会有一个通用的接口,适用于一些简单的查询,当然这个会有sql注入风险,被老板骂了可不要找我。下面的介绍都是以oracle数据库为主的,这点要注意,像一些分页、日期获取、日期转换都是有所不同的,不过大部分都是相同的。...
MyBatis 插入空值时,需要指定JdbcType.如#{name,jdbcType=VARCHAR}
bingguang1993的博客
01-26 1273
在执行SQL时MyBatis会自动通过对象的属性给SQL参数赋值,它会自动将Java类型转换成数据库的类型。而一旦传入的是null它就无法准确判断这个类型应该是什么,就有可能将类型转换错误,从而报错。 要解决这个问题,需要针对这些可能为空的字段,手动指定其转换时用到的类型。 一般情况下,我们没有必要按个字段去识别/判断它是否可以为空,而是将所有的字段都当做可以为空,全部手动设置转换类型。 ...
mybatis查询表有char类型和varchar类型
HY0101的博客
09-17 4917
问题原因: 1.数据库对应的A字段属性为char(10),而存储格式为YYYYmmdd,对于oracle数据库的char类型,当长度不足时,会在后位用空格补齐; 2.使用连接符$时,相当于CHAR型与字符常量的比较,字符常量作为char型处理,也就是在比较时会自动将常量右补齐空格后比较;所以可以正常查到结果; 3.使用占位符#时,相当于当CHAR类型和VARCHAR2类型比较,比较时对字段值是不...
带你深刻理解mybatis各个模块的作用
09-16
mybatis入门不知道如何搭建自己第一个mybatis得小伙伴看过来,这里有最形象易懂的入门级mybatis看过来!!! 适用人群:mybatis刚开始学习对这个用法比较模糊的朋友,资源解释了mybatis各个模块的作用,给以读者最...
手写mybatis框架源码由浅入深
01-03
不借助其他任何框架,从最底层开始着手,用最简单的代码,将mybatis的底层框架,手写出来,让你对mybatis有一个更加深刻和直观的理解 详见:https://blog.csdn.net/weixin_43860634/article/details/127177579
学生系统平台的SpringMVC+MyBatis代码
04-01
在本项目,"学生系统平台的SpringMVC+MyBatis代码" 是一个教育管理系统的实现,旨在帮助开发者和学习者深入理解如何整合SpringMVC框架与MyBatis持久层框架来构建高效、可维护的Web应用。下面将详细阐述这两个技术...
基于Mybatis+Spring+SpringMVC的SSM整合开发框架源码
最新发布
03-25
项目概述: 本项目采用Java语言开发,整合了Mybatis、Spring和SpringMVC三大框架,构建了一套高效的SSM整合...本项目不仅体现了对主流开发框架的深刻理解,也展示了如何在实际项目实现高效、稳定、可扩展的代码架构。
Mybatis什么时候需要声明jdbcType?
wh445306
12-12 1783
经常会见到以下两种写法: 1、 #{bookId} 2、 #{bookId,jdbcType=INTEGER} 一般情况下,两种写法都可以。它们都可以获取Dao层传递过来的参数。 但是,当传入的参数为null时,需要指定jdbcType的类型,否则mybatis无法解析。 ...
MyBatis 占位符使用JdbcType,如#{username,jdbcType=VARCHAR}
丸啊~
03-15 2975
在使用
Mybatis的ResultMap对column和property的理解
weixin_42043101的博客
11-29 1350
首先,先看看这张图,看能不能一下看明白: select元素有很多属性(这里说用的比较多的): id:命名空间唯一标识,可以被用来引用这条语句 parameterType:将会传入这条语句的参数类的完全限定名或者别名 resultType:从这条语句要返回的期望类型的类的完全限定名或别名(这里注意下集合类型,应该是集合可以包含的类型,不能是集合本身),重要:使用resultType或re...
MyBatis 指定JdbcType. 如#{name,jdbcType=VARCHAR}
qq_42739012的博客
07-26 2万+
本文引自 https://blog.csdn.net/qq_34122822/article/details/79506928   在执行SQL时MyBatis会自动通过对象的属性给SQL参数赋值,它会自动将Java类型转换成数据库的类型。而一旦传入的是null 程序就无法准确判断这个类型应该是什么(是Integer?是VARCHAR?还是别的?),就有可能将类型转换错误,从而报错。 加入j...
mybatis-jdbcType=VARCHAR
白兔白又白
05-29 4596
新增  oracle jdbc驱动 当这个值为null时,必须告诉它当前字段默认值的类型jdbcType=VARCHAR (VARCHAR是mybatis定义 固定写法,可以去查api。), 无效的列类型: 1111; nested exception is java.sql.SQLException mysql不用写.告知为null时,让驱动知道是什么类型。有值不为null,就不用写。
06-Mybatis ${} 和 #{}
记录java学习日常~
06-15 508
MyBatis ,${} 和 #{} 都可以用于在 SQL 语句引用参数,它们的作用类似于 Java 的字符串拼接和预编译机制。
mybatis 解析 xml 配置 ${xxx} 占位符的代码逻辑
关注我!带你一路 "狂飙" 到底!
04-10 1761
涉及到的类以及关键逻辑
"探索MyBatis的设计模式:源码解析与应用实例
总的来说,MyBatis源码对设计模式的应用丰富多样,从Builder、工厂、单例、代理、组合、模板方法等多个角度展现了设计模式的巧妙应用,深刻地展示了设计模式在实际项目的价值和意义。通过深入阅读MyBatis源码,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

图图小淘气_real

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值