mybatis ${} 和 #{}

最新推荐文章于 2022-05-04 16:24:12 发布
最新推荐文章于 2022-05-04 16:24:12 发布
阅读量154 收藏
点赞数 2
分类专栏: mybatis 文章标签: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44972847/article/details/108749159
版权

#{}

占位符,进行sql预编译,会自动加上’ ’ ,因此可以防止sql注入

${}

拼接符,进行字符串拼接,不会自动加上’ ',因此会参数sql注入



实例

1.使用${}

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.g.dao.UserMapper">
    ...

    <select id="getUserLikeName" resultType="User">
        select * from mybatis.user where name like "%"${name}"%"
    </select>
</mapper>

测试

public class UserMapperTest {
    ...

    @Test
    public void getUserLikeNameTest() {
        SqlSession sqlSession = MybatisUtils.getSqlSessionFactory();
        try {
            UserMapper mapper = sqlSession.getMapper(UserMapper.class);
            List<User> users = mapper.getUserLikeName("1 or 1=1");
            for (User u : users) {
                System.out.println(u);
            }
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            sqlSession.close();
        }
    }
}

输出结果

User{id=1, name=‘张三’, pwd=‘123456’}
User{id=2, name=‘李四’, pwd=‘123456’}
User{id=3, name=‘王五’, pwd=‘123456’}
User{id=4, name=‘赵六’, pwd=‘111111’}

进程完成,退出码 0



1.使用#{}

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.g.dao.UserMapper">
    ...

    <select id="getUserLikeName" resultType="User">
        select * from mybatis.user where name like "%"#{name}"%"
    </select>
</mapper>

测试结果

进程完成,退出码 0



结论

  • ${}无法防止Sql注入。
  • #{}很大程度防止sql注入。
  • 能用#{}尽量用。
Jint001
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MyBatis中的${}和#{}
weixin_33875839的博客
03-04 865
学习链接 1关于${}中是写value还是参数名称 按照常规想法,当使用like时,把#{}换成${}来完成sql语句, 因为用#{}的话,需要手动在添加参数时,将参数用"%xx%"包围住,编译后sql语句才是like %xx%, 或者要么用${}来完成,'%${value}%' 这个对应值会直接占据这个位置,并不像#{}那样先用?占据位置,再代入参数,相比上面一种方法,${}更方便,但是也增加了...
Mybatis中${}和#{}区别
quanquan_21的博客
07-14 161
1、${}拼接符 ,即 sql 拼接,变量替换后,${} 对应的变量不会加上单引号 ' 2、#{}占位符,即sql 预编译,变量替换后,变量自动加上单引号 '' 举例说明:现查询表user中姓名为“张三”的信息 select * from ${user} where 1=1 and user_name='张三'; mybatis编译后的效果为: select * from user where 1=1 and user_name='张三'; select * from user where 1
Mybatis】-${}和#{}的区别
Brooks Lv
06-18 567
动态 SQL 是 mybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } 和 ${ } 会有不同的表现 {}表示一个占位符号 #{id}:其中的id表示接收输入 的参数,参数名称就是...
mybatis中#{}与${}的区别
develop
06-22 617
相同点: 1、可以接收输入参数,类型可以是简单类型,pojo、hashmap。 2、可以接收pojo对象值,通过OGNL读取对象中的属性值,是通过属性.属性…的方式获取对象属性的值。不同点: 1、#{}表示一个占位符号;${}表示一个拼接符号,会引用sql注入,所以不建议使用。 2、#{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号;${}将传入的数据直接显示生成在sql中。
mybatis中`${}`使用【特殊SQL】
weixin_47267628的博客
05-04 1826
特殊SQL的执行 1.模糊查询【重点】 由于模糊查询传入是一个字符串 模糊查询的三种方式 方式一:%${值}% 方式一:注意是一定不能使用#{}没有拼接字符串的作用,会直接当作为%#{值}%一个字符串,所以会报错 select * from t_user where username like '%${username}%'; 方式二:concat('%',#{值},'%') 使用concat函数,来拼接字符串 select * from t_user where username like conca
浅谈mybatis中的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis中的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
MyBatis中使用$和#所遇到的问题及解决办法
09-01
MyBatis中,$和#的使用是动态SQL的关键部分,它们决定了参数如何被处理和插入到SQL语句中。下面将详细解释这两种符号的差异以及如何解决使用过程中遇到的问题。 1. #{}与${}的区别: - #{ }:这是MyBatis中的预...
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
java$和%的意思_Mybatis中#{}和${}代表什么含义,有什么区别?
weixin_31948907的博客
02-25 495
先来看一下#{},在mybatis中:select count() from user where age = #{value}#{value}会被传入的内容替换,替换的时候将传入的内容当成字符串,加上引号:例如传入的内容为23,sql语句会变为select count() from user where age= ‘23’这里是运行日志:从日志可以看出实际上是相当于执行了这段代码:String ...
MyBatis
刘霖晋 博客园
07-11 3847
参考文献   官网:https://github.com/mybatis/  官网:http://mybatis.github.io/ 官方文档:http://mybatis.github.io/mybatis-3/zh/index.html 官方API:http://mybatis.github.io/mybatis-3/zh/xref/index.html   Apache Sh
MyBatis的映射文件中#{}和${}的区别
LPClan的博客
12-21 395
MyBatis的映射文件中#{}和${}的区别
mybatis中#{}与${}的区别和使用(附实例)
A_captain_608的博客
05-10 1035
1.#{}基于preparedstatement的占位符实现;${}基于字符串拼接实现。 <!--映射文件 --> <mapper namespace="a.b"> <!--根据客户编号获取客户信息 --> <select id="c" parameterType="Integer" resultType="com.itheima.po...
mybatis #{}和${}的区别、传参、基本语法
wutongyuWxc的博客
11-28 4362
1 #{}和${}的区别、及注入问题 (1) 区别: 首先清楚一点,动态 SQL 是 mybatis 的强大特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析,#{} 和 ${} 在预编译中的处理是不一样的: 例如:select * from t_user where userName = #{name}; #{...
MyBatis #{} 和${}的区别
qq_37101291的博客
09-22 389
MyBatis 在对实体类配置映射文件中时 传递参数可以有 #{ } 和${ }两种 那么这两种到底有什么区别呢, 首先 来看看这两种方式传参后SQL语句的编译结果 (传入参数‘赵’) 1、#{ }形式: select * from smbms_user where 1=1 and userName like concat ('%',#{userName},'%') 编译结果
MyBatis理解
weixin_41987553的博客
10-15 2958
Mybatis介绍        MyBatis 本是apache的一个开源项目iBatis, 2010年这个项目由apache software foundation 迁移到了google code,并且改名为MyBatis 。2013年11月迁移到Github。        MyBatis是一个优秀的持久层框架,它对jdbc的操作数据库的过程进行封装,使开发者只需要关注 SQL 本身,而...
mybatis中#和$的区别
qq_38114157的博客
11-22 220
Mybatis中#与$的区别 Mybatis中的#{}用于传递查询的参数,用于从dao层传递一个string参数过来(也可以是其他参数),select * from 表名 order by age=#{age} Mybatis会把这个参数转换成一个字符串。select * from 表名 order by age="age" 相当于jdbc中的预编译,安全。 而${}一般用于order by...
关于mybatis中llike模糊查询中#和$的使用
热门推荐
长河的博客
10-14 14万+
mybatis中经常要写到like 查询,以前从来没有遇到什么问题,突然遇到一个问题,找了好长时间没找到,最后找到了,是关于#和$的使用的,总结如下: name like 表达式 and falg=#{falg} 本次示例中共两个条件,一个是name like 表达式, 还有flag相等,这个是使用#{}占位符,没有任何问题,关键问题就是 表达式的书写.下面来研究下表达式的...
Mybatis中$与#的区别, $的应用场景
最新发布
04-23
Mybatis中$和#都用于动态SQL语句中的参数绑定,但它们之间有几个区别: 1. #用于预编译,$用于值传递。#会将参数放入预编译语句中的占位符中,可以避免SQL注入,但会使SQL语句无法重用;$将参数直接拼接进SQL中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值