mybatis#号和$区别

已于 2024-06-30 11:29:27 修改
阅读量485 收藏 11
点赞数 9
分类专栏: mybatis 文章标签: 数据库 mybatis
于 2024-06-29 09:18:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44031124/article/details/140058665
版权

MyBatis中,`#{}`${}都是用于实现动态SQL的占位符,但它们在使用场景和安全性上有明显的区别:

  1. 用途区别

    • #{}主要用于传递接口传输过来的具体数据,如参数值,它可以防止SQL注入,因为MyBatis会对#{}中的参数进行预编译处理,将参数值安全地传递给数据库,并且自动转义特殊字符,避免SQL注入攻击。这种方式适用于大多数情况,尤其是当参数值来自用户输入或不可信数据时。例如:  SELECT * FROM users WHERE id = #{userId} 
          "#{}":MyBatis会使用预编译的SQL语句,并为每个参数,设置相应的占位符(通常是"?"),
    
    然后,当执行SQL时,MyBatis会使用 "PreparedStatement 的 setXXX()方法"来设置参数值,
    
    这种方式,可以有效地防止SQL注入攻击,

    因为,参数值不会被解析为SQL的一部分。

    • ${}则一般用于传入数据库对象,例如列表和表名,它不会对参数进行预编译处理,而是直接将参数拼接到了原始的SQL里面。这种方式可以适合应用在一些动态SQL场景中,比如动态传递表名、动态设置排序字段等,但由于不会对参数进行特殊处理,存在SQL注入的风险。 
      SELECT * FROM users WHERE id = ${userId} 
相当于 "SELECT * FROM users WHERE id =" + userId

  2. 安全性

    • #{}由于具有更高的安全性,能够防止SQL注入,因此在能够使用#{}的地方应尽量避免使用${}。使用#{}产生的预编译SQL语句可以提高数据库性能,因为数据库可以缓存相同的预编译语句。
    • ${}由于直接拼接原始SQL语句,无法防止SQL注入的问题,因此在需要动态参数的场景中应谨慎使用,确保传入的数据是安全的。

  3. 总结

    • 在实际应用中,应优先考虑使用#{}占位符来传递参数,以避免潜在的安全风险。只有在确实需要动态拼接原始SQL语句的情况下,才考虑使用${}占位符,并确保传入的数据经过适当的验证和过滤。
King&Stones
关注
专栏目录
mybatis的#和$使用和区别
学无止境
02-27 865
mybatis的#和$使用和区别
详解mybatis #{}和${}的区别、传参、基本语法
08-18
主要介绍了mybatis #{}和${}的区别、传参、基本语法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
mybatis #{} 以及 ${}
minzhang001的博客
10-23 1万+
动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 在下面的语句中,如果 username 的值为 zhangsan,则两种方式无任何区别:select * from user where name = #{name
Mybatis实战:#{} 和 ${}的使用区别数据库连接池
最新发布
LHY537200的博客
08-02 1535
{} 和 ${}#{} 和 ${} 在MyBatis框架中都是用于SQL语句中参数替换的标记,但它们在使用方式和处理参数值上存在一些显著的区别。特点1.1Interger类型的参数1.先看Interger类型的参数2.观察日志3.查看日志中的输出语句我们输⼊的参数并没有在后⾯拼接,id的值是使⽤?进⾏占位. 这种SQL 我们称之为"预编译SQL"。4.我们把#{}改成${}5.再次查看输出日志信息可以看到, 这次的参数是直接拼接在SQL语句中了。
mybatis中的#和$的区别
热门推荐
kobi521的专栏
11-25 11万+
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的
Mybatis #和$
井底之蛙
03-16 1万+
mybatis的mapper文件中,对于传递的参数我们一般是使用#和$来获取参数值。 当使用#时变量是占位符,就是一般我们使用java jdbc的PrepareStatement时的占位符?,所有可以防止sql注入 当使用$时,变量就是直接追加在sql中,一般会有sql注入问题。 一个问题就是:在使用mybatis传递时间变量时,如果通过#方式获取变量值,可能会出现与数据库的字段的
MyBatis 中 #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1275
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS中 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
mybatis中的#和$的区别?
gol_phing的博客
08-12 816
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
MyBatis中#与美元符区别
08-31
MyBatis框架中,#和美元符($)在动态SQL中的使用有着显著的区别,这些差异直接影响到SQL语句的预编译、类型匹配以及安全性。 首先,#{}是MyBatis的预编译占位符。当使用#{变量名}时,MyBatis会进行预编译处理...
mybatis中的#和$
yangyou55的博客
06-02 517
#相当于对数据 加上 双引,$相当于直接显示数据 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".  2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如...
Mybatis中的$和#
sillyyyy的博客
05-08 2652
在SQL语句执行时,Mybatis会将$占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用$占位符可以在某些情况下提高SQL语句的性能,因为在预编译时不需要处理参数占位符。#用于预编译,表示参数占位符,例如:#{username}。在SQL语句执行时,Mybatis会将占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用#占位符可以有效地防止SQL注入攻击,因为Mybatis会将参数值转义后再替换占位符。使用哪种占位符取决于具体的需求,如果需要防止SQL注入攻击,则应该使用#占位符;
mybatis中的#{}和${}
submorino的专栏
11-25 2441
mybatis中的#{}和${} 1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1)   1)#{}为参数占位符?,即sql 预编译   2)${}为字符串替换,即sql 拼接 (2)   1)#{}:动态解析 ->预编译-> 执行   2)${}:动态解析 ->编译-> 执行 (3)   1)#{}的变量替换是在DBMS中   2)${}...
mybatis 中#{} 和 ${}
即客星球的博客
12-19 414
简介: mybatis 有 # 和 $ 两种输出参数的符,他们之间是有一些不一样的使用场景.. 首先来看一下啊 sql 语句 1 sql 语句 (1)使用 ${} sql select * from user u where u.name = '${name}' select * from user u where u.name = 'test' ${} 是直接填充值 (2)#{} ...
Mybatis中的 ${} 和 #{}
qq_31484941的博客
03-20 826
Mybatis 的Mapper.xml语句中parameterType向SQL语句传参有两种方式:#{}和${}我们经常使用的是#{},一般解说是因为这种方式可以防止SQL注入,简单的说#{}这种方式SQL语句是经过预编译的,它是把#{}中间的参数转义成字符串,举个例子:select * from student where student_name = #{name} 预编译后,会动态解析成一...
mybatis内的一些区别
lyf_ldh的博客
09-12 163
#{}和${} #{}表示一个占位符,通过#{}可以实现preparedStatement向占位符中设置值,自动进行java类型和jdbc类型转换。#{}可以有效防止sql注入。 #{}可以接收简单类型值或pojo属性值。 如果parameterType传输单个简单类型值,#{}括中可以是value或其它名称。 ${}表示拼接sql串,通过${}可以将parameterType 传入的
一文解惑mybatis中的#{}和${}
一个菜鸡的博客
07-19 5704
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
MyBatis中的#{}和${}的用法
heliuerya的博客
06-15 2569
在实际开发中有些数据量非常大,需要分表存储,然后分表查询,比如:日志信息表基本上是每天一张表,现有多张日志信息表:log_20230101、log_20230102、log_20230103…比如:在查询某班全体学生并按照姓名按照升序/降序排列的sql语句中,当需要传入关键字asc"或"desc"的时候需要使用${}而不能使用#{},像这种需要传入。先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。的sql语句需要使用${},其它情况需要使用#{},用来防止出现sql注入现象。
mybatis中#和$的区别
06-07
MyBatis中,#和$都是用于替换SQL语句中的占位符的符,但它们的处理方式不同。 #表示占位符,通过预编译的方式将传入的参数值进行安全的替换,防止SQL注入攻击,同时将参数值转换为对应的JDBC类型。例如: ``...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值