#{} 导致 sql 语法分析错误

最新推荐文章于 2022-10-18 13:20:00 发布
最新推荐文章于 2022-10-18 13:20:00 发布
阅读量619 收藏 1
点赞数 2
分类专栏: Mybatis 文章标签: mybatis sql mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42651415/article/details/116198026
版权

1. #{} 与 ${} 的区别

  • 要了解这个坑就要先了解 #{}${} 的区别[1.2]

    #{}${}
    变量替换变量替换后会自动加上单引号变量替换后不会加上单引号
    sql 注入能防止 sql 注入不能防止 sql 注入
    拼接 sql 方式以预编译的形式,将参数设置到 sql 语句中,使用的是 PreparedStatement直接拼装在 sql 语句中
    效率较低较高

2. 我的问题

  • 我的问题是变量替换时添加单引号所导致的

    • mybatis 查询语句

      <!-- table_name = "time_list"-->
SELECT COU_TIME FROM #{table_name} WHERE SD > 0 ORDER BY COU_TIME

    • 报错

      ### SQL: SELECT COU_TIME FROM ? WHERE SD > 0 ORDER BY COU_TIME
### Cause: java.sql.SQLException: 语法分析出错

    • 分析后的 sql 语句

      SELECT COU_TIME FROM 'time_list' WHERE SD > 0 ORDER BY COU_TIME

    • 正确的 sql 语句

      SELECT COU_TIME FROM time_list WHERE SD > 0 ORDER BY COU_TIME

3. 使用建议

  • #{}${} 在使用中的技巧和建议[1]

    • 不论是单个参数,还是多个参数,一律都建议使用注解 @Param("")

    • 能用 #{} 的地方就用 #{},不用或少用 ${},防止 sql 注入。如传递 sql 字段值:

      --column_name = "why"
select * from user where name = #{column_name} --mybatis
select * from user order by name = 'why'	   --sql

    • 表名作参数时,必须用 ${}。如:

      --table_name = "user"
select * from ${table_name} --mybatis
select * from user          --sql

    • order by 时,必须用 ${}。如:

      --column_name = "id"
select * from user order by ${column_name}。
select * from user order by id

    • 使用 ${}#{} 时,要注意 mybatis 传递的参数在 sql 语句中是否可加单引号。

4. 参考资料

[1] 落落的大方. MyBatis中#{}和${}[EO/BL]. https://blog.csdn.net/weixin_46155048/article/details/109348345, 2020-10-28/2021-04-27.

[2] 大脸猫aaaaa. mybatis 中的#{} 和 ${}[EO/BL]. https://blog.csdn.net/weixin_43832730/article/details/112094261, 2020-01-02/2021-04-27.

Uanmo
关注
专栏目录
mapper——sql语法错误
weixin_45085844的博客
01-20 1134
sql语法错误,细心检查即可解决
MyBatis笔记】6 - 特殊SQL的执行:不能使用#{}的场景、获取自增的主键
CherryChenieth的博客
03-01 1878
文章目录1、模糊查询2、批量删除3、动态设置表名4、添加功能获取自增的主键 视频链接:https://www.bilibili.com/video/BV1VP4y1c7j7?p=37&spm_id_from=pageDriver 接口类综合代码: public interface SQLMapper { /** * 根据用户名模糊查询用户信息 */ List<User> getUserByLike(@Param("username") String
mysql #{}和$ {}使用出错,导致参数从varchar变int 运行错误
weixin_44934104的博客
08-24 483
我的删除delete的SQL语句因为表名是动态的,所以使用的$ {}来设置表名,后面的where条件顺手(复制粘贴)也写成了${},导致传递参数的值本来是字符串类型却编译成了数字,导致执行后出现数据错误。知识点是明白的,问题也不算大,但是项目跑起来的时候导致一直数据不对……区别:#{}是预编译处理,$ {}是字符串替换。
SQL常见语法错误
weixin_55024483的博客
03-29 1193
错误: 原因: 主表数组类型与引用外键数据类型不一致。 解决办法: 修改数据类型至两者一致。
java.sql.SQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corres
T_Y_F_的博客
09-30 1万+
java.sql.SQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'is null order by id desc limit 1' at line 1
SQL中文java报错误_java操作Sql出现java.lang.NullPointerException错误
weixin_29149341的博客
02-25 883
引用 3 楼 qq_27382089 的回复:1.这是查询时候的代码://连接数据库Database.joinDB();//为表格初使化数据------------------------------------------------------------String csf="select * from DepartmentInformation";if(Database.query(csf...
通用标准SQL语法分析模型.pdf
09-19
同时,该模型为数据库设计者和开发者提供了一个有效的工具,帮助他们在设计和开发阶段进行SQL语法的验证工作,从而减少因语法错误导致的问题。 综上所述,本文所介绍的通用标准SQL语法分析模型具有重要的理论和实践...
SQL语法分析控件源码ByC#
11-30
SQL语法错误可能会导致查询失败,浪费时间和资源。因此,拥有一个能够实时检测并修正语法错误的工具对于提高开发效率至关重要。SQL语法分析控件可以做到这一点,它能帮助开发者在编写过程中即时发现和修复语法问题。...
java检查sql语法是否正确
03-27
在Java编程中,检查SQL语法是否正确是一项重要的任务,它能确保我们的数据库操作代码不会因为语法错误而引发异常。为了实现这一目标,开发者...在实际开发中,结合使用这些方法可以有效避免因SQL语法错误导致的问题。
sql语句中#{}
weixin_30362083的博客
10-17 651
例:Student stu = new Student("田七",27,95); Map<String,Object> map=new HashMap<String, Object>(); map.put("nameCon", "张"); map.put("ageCon", 23); map.put("stu", stu);...
SQL ser 进行表中的插入操作时,变量字段名,导致报错时解决办法 :动态SQL
weixin_30646315的博客
01-17 163
  标题不能描述的很清楚,下面具体说所我要描述的问题,和解决的办法。   作为SQL小白一枚,近日在写一段代码,代码如下: 报错显示 变量@vv附近错误。 后来经过了解,原来是因为,这样需要使用 动态SQL去解决: 解决办法如下(请注意两幅图的不同之处): 第一次接触 所谓的动态SQL,博主也是照猫画虎的解决了该问题。 如果有大神对于 动态SQL 比较了...
#{}的误用
Windsearcher的博客
11-19 454
in context with path [] threw exception [Request processing failed; nested exception is org.mybatis.spring.MyBatisSystemException: nested exception is org.apache.ibatis.type.TypeException: Could not s...
SQL —— #{} 和 ${}
看了就会暴富的博客!
11-17 3493
问题 sql语句可以使用#{} 或${}进行传参,那么他们有什么区别,使用上有什么需要注意的地方呢? 解决 在预编译中的处理是不一样的。#{} 在预处理时,会把参数部分用一个占位符 ? 代替,变成如下的 sql 语句:select * from a where name = ?; 而 ${} 则只是简单的字符串替换,在动态解析阶段,该 sql 语句会被解析成:select * from a where name = 'zhangsan'; 实际使用 优先使用 #{}。因为 ${} 可能会导致..
Mybatissql语句表名处报错
qq_39969068的博客
02-22 652
mybatissql语句时一直报错,是因为sql的表名不需要用“‘’”扩起 但是用“#{}”方式时,会自动为参数添加“‘’” 导致程序报sql语法错误 可以用“${}”替换“#{}” <insert id="addVemEntity" parameterType="dayfood.person.entity.QueryVem"> insert into #{tablename} (name , img_url , quantity) values (#{vementity.name}
SQL注入时不能用#号的原因
baynk的博客
02-22 2638
因为一直在纠结一个问题,为什么有些时候在做sql注入时不能用#做注释,只能拿%23做注释使用,前端代码并没有过滤,所以只能是后台的限制,询问了大佬以后,告诉我去监控一下MYSQL的语句,折腾了半天,终于搞好了。 开启日志 先查看mysql日志是否开启 mysql&amp;amp;amp;gt; show variables like 'log_bin%'; log_bin | ON 则开启 如果没有开启,在/etc/m...
sql 中 ${} 和 #{}的区别
热门推荐
LJJZJ的博客
11-14 1万+
$将传入的数据直接显示生成在sql中,那么我们使用 ${}的时候 select * from user where name = ${name}; ${}在动态解析的时候,会将我们传入的参数当做String字符串填充到我们的语句中,就会变成下面的语句select * from user where name = "dato"; 预编译之前的 SQL 语句已经不包含变量了,完全已经是常量数
一些特殊SQL使用Mybatis的#{}和${}注意点
神笔码农.的博客
10-18 2129
Mybatis对JDBC进行了进一步封装,使得我们可以更加便捷的使用Java操作数据库。#{}和${}在大部分情况下,#{}和${}都能相互替代,使用两者之一即可,更加推荐使用#{},因为可以防止SQL注入问题,但是由于#{}和${}本质上的不同,部分SQL语句使用#{}和${}需要格外注意。
SQL解析相关报错
刘大猫
05-21 1308
摘要 数据库属性定义自定义类型是报错 there is no getter for property named “xx” in class have an error SQL syntax java.lang.ClassCastException 插入语句jsonObject数据报错 情景1:数据库属性定义自定义类型是报错 情况1: 原因:insert请求是具体参数没设置“其他属性” 解决方案:对个别属性添加属性就行,就是下面的↓ 情况2: 原因:因为加了“.class”导致无法找到类 解决
关于mysql出现java.sql.SQLException错误
weixin_34033624的博客
10-24 4680
2019独角兽企业重金招聘Python工程师标准>>> ...
上述sql server语法错误
最新发布
09-06
例如,将FROM关键字放在SELECT关键字之前,或者将WHERE关键字放在FROM关键字之前,都会导致SQL语法错误[2]。 3. SQL关键字拼写错误:当在SQL查询语言中,将命令或子句保留的单词拼写错误时,也会发生SQL关键字错误...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值