MyBatis动态sql之${}和#{}区别

最新推荐文章于 2023-10-23 10:15:42 发布
最新推荐文章于 2023-10-23 10:15:42 发布
阅读量237 收藏 1
点赞数 1
分类专栏: mysql mybatis java 文章标签: mybatis mysql java sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43649799/article/details/119568634
版权
java 同时被 3 个专栏收录
59 篇文章 1 订阅
订阅专栏
mybatis
10 篇文章 0 订阅
订阅专栏
mysql
4 篇文章 0 订阅
订阅专栏

动态sql是mybatis的主要特性之一。在mapper中定义的参数传到xml中之后,在查询之前mybatis会对其进行动态解析。

mybatis提供了两种支持动态sql的语法:#{} 和 ${}。

select * from t_user where username = '${username}' and password='${password}';
select * from t_user where username = #{username} and password=#{password};

如果传值是一样的话,#{} 和 ${}的运行结果是一样的,但是在SQL解析阶段的处理是不一样的

1、#{}

解析为一个JDBC预编译语句(prepared statement)的参数标记符,把参数部分用占位符 ? 代替。
动态解析为:

select * from t_user where username = ? and password = ?;

就相当于JDBC 的prepared statement

2、${}

这种方式只会做简单的字符串替换,在动态SQL解析阶段将会进行变量替换,假如传递的参数为二师兄,最后相当于:

select * from t_user where username = '二师兄'  and password='123456';

这样在预编译之前的sql语句已经不包含变量了,因此可以看出 ${} 变量的替换阶段是在动态SQL解析阶段。

#{} 和 ${}比较 可以有效的预防SQL注入

举个例子:
如果传入的username为张三’# password为 123456

如果使用的是${}的话 最后的SQL为:

select* from users where username='张三'#' and password='123456'

可以看到 username=‘张三’ 之后是一个#
而在SQL中#是注释的意思,所以这条语句真正发挥作用的部分就是:select* from users where username=‘张三’ 就直接变成了一条查找张三 的语句,完全不用经过密码验证,这样就属于SQL注入!
但是如果使用的是#{},就可以避免这个问题。
因为经过sql动态解析和预编译,会把单引号转义为 ’ 那么sql最终解析为:

select* from users where username='张三\'#' and password='123456'

这样就查不出任何数据,有效阻止sql注入

性能考虑

因为预编译语句对象可以重复利用,把一个sql预编译后产生的PreparedStatement对象缓存下来,下次对于同一个sql,可以直接使用缓存的PreparedStatement对象,mybatis默认情况下,对所有的sql进行预编译,这样的话 #{}的处理方式性能会相对高些。
总结:

能使用#{}的时候尽量使用#{}!
ss无所事事
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
mybatis学习笔记(5):Mapper XML中参数接收#{}和${}的区别
YellowStar的博客
06-30 2865
 动态 sqlmybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 在下面的语句中,如果 username 的值为 zhangsan,则两种方式无任何区别: select * from user where name = #{na...
sql中${}和#{}的区别
liyanfeng的博客
10-27 1468
项目开发过程中,在mybaitis框架中,sql经常需要动态赋值,会出现#{param} 、${param}两种形式。 接下来,我们一起来看一个案例:根据用户的姓名来筛选用户信息,其中用户姓名不确定,是动态变化的,sql如下: select * from userInfo where user_name=“张三”; //查询名称是张三的信息 在xml中 select * from userInfo where user_name=#{name} //根据名称动态查询用户信息,#将参数解析成
mybatis中"#"和"$"的区别
weixin_33972649的博客
09-18 1178
  动态 sqlmybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。   在下面的语句中,如果 username 的值为 zhangsan,则两种方式无任何区别:    select * from user where na...
一些特殊SQL使用Mybatis的#{}和${}注意点
神笔码农.的博客
10-18 2008
Mybatis对JDBC进行了进一步封装,使得我们可以更加便捷的使用Java操作数据库。#{}和${}在大部分情况下,#{}和${}都能相互替代,使用两者之一即可,更加推荐使用#{},因为可以防止SQL注入问题,但是由于#{}和${}本质上的不同,部分SQL语句使用#{}和${}需要格外注意。
Mybatissql注入问题以及${}和#{}的区别
qq_40558345的博客
04-12 174
Mybatis动态sql中##和$$的区别讲解
08-26
今天小编就为大家分享一篇关于Mybatis动态sql中##和$$的区别讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
mybatis动态sqlmybatis动态sqlmybatis动态sql
最新发布
04-28
其中,动态SQLMyBatis的一个重要特性,它允许用户根据不同的条件拼接SQL语句,从而实现更加灵活和可扩展的数据库操作。 在MyBatis中,动态SQL使用的主要方式是通过使用XML或注解来编写SQL语句。下面我将简单介绍...
mybatis动态sql之Map参数的讲解
08-26
今天小编就为大家分享一篇关于mybatis动态sql之Map参数的讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
mybatis 动态sql及参数传递
12-14
在实际开发过程中,我们往往需要编写复杂的SQL语句,拼接稍有不注意就会导致错误,Mybatis给开发者提供了动态SQL,大大降低了拼接SQL导致的错误。 动态标签 if标签 if标签通常用那个胡where语句,update语句,insert...
mybatis动态sql.zip
04-28
mybatis动态sql动态sql解析引擎,类似mybatis动态sql的功能。 mybatis动态sql动态sql解析引擎,类似mybatis动态sql的功能。mybatis动态sql动态sql解析引擎,类似mybatis动态sql的功能。mybatis动态sql,...
【安全】mybatis中#{}和${}导致sql注入问题及解决办法
漆黑梦工厂
10-23 2707
使用mybatis的时候遇到了#{}和${}可能导致sql注入的问题。
Mybatis的入参`#{}` 和 `${}`标签区别之 报错:无效的 SQL 类型: sqlKind = UNINITIALIZED
qq_38260536的博客
08-24 841
当我使用 #{} 作为接受变量的参数时,会报错,无效的 SQL 类型: sqlKind = UNINITIALIZED将 # 替换成 $ 就可以了。知识点说明:1、 如果传递的是一个非字符串值,则两者等效2、 如果是一个字符串值,则#{}:会将其值作为一个字符串拼接在sql上,即拼接时自动包裹引号 (自动加引号)${}:不会作为字符串处理,拼接在sql时不会自动包裹引号 (不加引号)
mybatis中#{}和${}的区别以及SQL注入问题
weixin_47331155的博客
12-13 2129
mybatis
mybatis ${} sql注入
心帆唯一的专栏
04-28 8927
mybatis中${}的sql注入解决方案 主要解决sql的like 、in 、order by 注入问题,其他查询也可以参照下面解决建议 首先#{}和${}在预编译中的处理是不一样的。 #{}在预处理时,会把参数部分用一个占位符 ?代替,变成如下的sql语句: select * from user where name = ?; ${}则只是简单的字符串替换,在动态解析
Mybatis 动态SQL
Dream Lad的博客
07-26 151
MyBatis 的强大特性之一便是它的动态 SQL。如果你有使用 JDBC 或其他类似框架的经验,你就能体会到根据不同条件拼接 SQL 语句有多么痛苦。拼接的时候要确保不能忘了必要的空格,还要注意省掉列名列表最后的逗号。利用动态 SQL 这一特性可以彻底摆脱这种痛苦。 if 动态SQL通常要做的事情是有条件地包含where子句的一部分。所以在MyBatis中,<if>元素是最常用的元素。它类似于Java中的if语句。在应用中,测试<if>元素,具体过程如下: &...
Mybatis(三)动态sql语句
GBEzmz1993的博客
12-18 152
动态sql语句操作    1、MyBatis中#{ }和${ }的区别    在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${},他们都可以用来动态传递参数,补全SQL语句。    #{"参数名"}在SQL中相当于一个参数占位符“?”,用来补全预编译...
sql 中 ${} 和 #{}的区别
qq_34266804的博客
03-01 621
sql中对于传入参数有两种写法,刚开始学的时候总是不知道是什么原因,故此写下此笔记作为解释: $将传入的数据直接显示生成在sql中,那么我们使用 ${}的时候 select * from user where name = ${name}; ${}在动态解析的时候,会将我们传入的参数当做String字符串填充到我们的语句中,就会变成下面的语句 select * from u...
Mybatis动态sql、模糊查询、查询返回结果集的处理、分页查询与特殊字符处理
oyang的博客
08-15 2108
Mybatis动态sql、模糊查询、查询返回结果集的处理、分页查询与特殊字符处理。重写mybatis的分页,Mybatis的分页功能很弱,它是基于内存的分页(查出所有记录再按偏移量offset和边界limit取结果),在大数据量的情况下这样的分页基本上是没有用的,resultMap:适合使用返回值是自定义实体类的情况,resultType:适合使用返回值的数据类型是非自定义的,即jdk的提供的类型·,解决sql注入的风险,3、查询返回结果集的处理,mybatis动态sql,5、特殊字符处理...
mybatis中的$和#占位符区别sql注入怎么解决?
06-12
MyBatis中的#{}和${}都是用于占位符的,但是它们的作用有所不同。 #{}用于预编译参数,它会将参数值转义后再拼接到SQL语句中,可以有效防止SQL注入攻击。 ${}用于拼接SQL语句,它会将参数值原封不动地拼接到SQL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值