【mybatis的#和$使用和区别】

已于 2023-04-11 09:35:10 修改
阅读量1.1k 收藏
点赞数 1
分类专栏: # RDBMS # 搞懂框架 文章标签: mybatis sql java
于 2023-02-27 11:38:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43116031/article/details/129238832
版权
本文介绍了MyBatis框架中#和$符号在SQL语句中的应用。#符号用于参数替换并自动进行转义,能防止SQL注入,如:#{username};而$符号直接替换,不进行转义,存在SQL注入风险,如:${orderBy}。建议尽量使用#以确保安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

MyBatis是一种基于Java的持久层框架,用于将数据库操作和Java对象之间的映射进行处理。在MyBatis中,#和 $ 符号是用于SQL语句中的占位符。
在SQL语句中,#和 $ 符号都表示占位符,但它们的使用方式略有不同:

# 符号

#符号 在使用#符号时,MyBatis会将参数值直接替换到SQL语句中,并对参数值进行类型转换和字符转义处理。在执行SQL语句时,使用#符号可以有效防止SQL注入攻击。

例如,假设有一个名为username的参数,我们可以在SQL语句中使用#username#来表示占位符,如下所示:
SELECT * FROM users WHERE username = #{username}

$ 符号

在使用符号 在使用符号在使用符号时,MyBatis会将参数值直接替换到SQL语句中,但不会对参数值进行类型转换和字符转义处理。在执行SQL语句时,使用 $ 符号需要注意SQL注入攻击的风险。

例如,假设有一个名为orderBy的参数,我们可以在SQL语句中使用orderByorderByorderBy来表示占位符,如下所示:
SELECT * FROM users ORDER BY ${orderBy}

在使用符号时,需要注意一些风险,例如如果使用不当,可能会导致SQL注入攻击。因此,建议在使用符号时,需要注意一些风险,例如如果使用不当,可能会导致SQL注入攻击。因此,建议在使用符号时,需要注意一些风险,例如如果使用不当,可能会导致SQL注入攻击。因此,建议在使用符号时,对参数值进行严格的检查和过滤处理。

mybatis - 取值符号:# $区别
pig_ning的博客
04-25 986
mybatis - 取值符号:# $区别
mybatis中的#$区别
热门推荐
kobi521的专栏
11-25 11万+
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的
一文详解Mybatis占位符#$区别
Java技术攻略的博客
03-14 708
由上经过源码分析,我们知道Mybatis#{}占位符是直接转换成问号,拼接预处理 sql${}占位符是原样拼接处理,有sql注入风险,最好避免由客户端传入此参数。
Mybatis中的#$符号的区别
最新发布
m0_69529796的博客
03-22 531
符号作用是否预编译SQL 注入风险占位符,参数绑定✔️ 支持预编译❌ 安全(防止SQL注入)字符串拼接❌ 不预编译⚠️ 有SQL注入风险场景推荐备注传递普通参数(数字、字符串)#{}安全、高效传递动态表名、字段名、排序规则${}需要手动校验,避免 SQL 注入MyBatis#{} 表示占位符,使用 PreparedStatement 预编译,能有效防止 SQL 注入,是最推荐的写法。
9 方法区
积少成多
08-17 572
Java 8 Lambda表达式
MyBatis#$占位符的区别
陈东东的博客
11-04 1121
#{value} 使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句中如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且在使用#{}时形成的sql语句,已经带有引号。 例如,select * from table1 where id=#{id} 在调用这个语句时我们可以通过后台看到打印出的sql为:select * f...
forever_2h mybatis 之 占位符#{} ${}
wscrf的博客
03-27 383
#{}占位符用来设置参数,参数的类型可以有3种,基本类型,自定义类型,map基本类型作为参数,参数与占位符中的名称无关。<select id="findById" parameterType="int" resultType="cn.wh.vo.Role"> select * from t_role where id = #{xxxid} </select...
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$区别 在...
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Mybatis下动态sql##$$区别讲解
08-26
Mybatis下动态sql##$$区别讲解 Mybatis是一款流行的ORM框架,能够帮助...综上所得,在Mybatis下动态sql##$$区别是非常重要的,correctly使用#{ }${ }可以避免SQL注入问题,并提高应用程序的安全性。
浅谈mybatis中的#$区别
09-02
MyBatis中,`#``$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis占位符 #与占位符$区别
zalan01408980的博客
04-20 737
#{}速度快,能防止sql注入,是占位符方式,先预编译,然后填充参数,字符串格式,用户名=(___),参数只是下划线上的内容${}是直接拼接到语句上,这种方式需要自己拼括号参数,但是也可以拼接想执行的任何语句,也就是传说中的sql注入详情如下 在MyBatis使用参数进行SQL拼装经常会使用#{var}${var}两种参数的设置方式。下面是两种方式的不用之处: #{var}使用预编译的...
Mybatis# $ 占位符的区别
qq_42286362的博客
12-23 693
一、# 占位符 语法:#{字符} mybatis处理#{}使用jdbc对象是PreparedStatement对象 <select id="selectStudentById" parameterType="integer" resultType="com.itjuzi.entity.Student"> select id,name,email,age from Student where id = #{id} </select> 即mybat
MyBatis使用#$书写占位符有什么区别
weixin_33686714的博客
07-25 814
将传入的数据都当成一个字符串,会对传入的数据自动加上引号;将传入的数据直接显示生成在SQL中。注意:使用占位符可能会导致SQL注射攻击,能用#的地方就不要使用,写order by子句的时候应该用而不是#。 ...
Mybatis的占位符 #$区别
qq_43185247的博客
12-30 440
印象笔记记录 点我打开笔记
MyBatis学习:#占位符 $占位符的区别
weixin_46281472的博客
08-05 1161
目前我本人正在学习MyBatis框架,在原先了解并且懵懵懂懂使用的基础上,开始系统正式的学习。阐述了MVC架构模式三层架构,明晰了在Web项目中的普遍编码层次,回顾了JDBC连接数据库,建立了使用MyBatisMySQL的Maven项目,解释了STDOUT_LOGGING日志手动提交事务,记录了MyBatis#占位符的使用方法,回顾了MyBatis执行SQL语句的过程使用到的一些重要类接口,记录了将固定化的代码整合到一个工具类MyBatisUtil中,以减少代码量。...
Mybatis#$区别
伏颜的博客
07-11 2万+
Mybatis#$区别
Mybatis】占位符#{}${}的区别
少侠露飞的学习笔记
07-30 2万+
  #{}是占位符,${}是拼接符。 #{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”. ${}将传入的数据直接显示生成在sql中。如:order by ${user_id},如果传入的值是11...
MyBatis占位符#$区别
ShaoXuan_的博客
04-13 482
<select id="findUserById" parameterType="int" resultType="com.itheima.pojo.User"> select * from users where id=#{id} </select> //MyBatis创建出PreparedStatement对象,执行SQL语句 Conncection conn = JDBCUtils.getConnection(); String sql = "select * .
mybatis #$区别
09-19
MyBatis中,${}#{}都是用来替换参数的符号,但它们有以下几个区别: 1. 功能不同:${}是直接替换参数的值,而#{}是进行预处理,并将参数的值设置到预编译语句中。 2. 使用场景不同:通常情况下,我们使用#{}来替换普通的参数,而对于需要传递SQL命令或SQL关键字的情况,我们需要使用${}。但是在使用${}之前,务必进行安全验证。 3. 安全性不同:使用${}存在安全问题,容易引发SQL注入攻击。而使用#{}进行预处理可以有效防止这种安全问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

冷风扇666

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值