MyBatis中#{}和${}的区别

最新推荐文章于 2022-04-08 18:11:29 发布
最新推荐文章于 2022-04-08 18:11:29 发布
阅读量112 收藏
点赞数
分类专栏: MySQl mybatis 笔记 文章标签: mybatis mysql 字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45251343/article/details/118829204
版权
笔记 同时被 3 个专栏收录
41 篇文章 1 订阅
订阅专栏
MySQl
6 篇文章 0 订阅
订阅专栏
mybatis
6 篇文章 0 订阅
订阅专栏

文章目录

${}和#{}都是占位符,占位符是什么呢,可以理解为MyBatis的一个变量
${} 注入什么就是什么,且如果是简单类型的值需要用 value 来接收
#{} 参数是采用预编译处理,${}是字符串替换
#{}参数是简单类型(基础类型和字符串),变量可以任意
${}参数是简单类型(基础类型和字符串),变量必须是Value
#{}参数是引用类型,变量是引用类型中的属性,不可任意
${}参数是引用类型,变量是引用类型中的属性,不可任意

Mybatis 在处理#{}时,会将 sql 中的#{}替换为?号,调用 PreparedStatement 的set 方法来赋值;

一.#{} (常用,对于sql注入有一定的防控作用)

<select id="getUser" parameterType="java.lang.String" resultType="com.kenneth.model.entity ">
        SELECT * FROM user WHERE username = #{name}
</select>

当你的name还是传入step时,sql会变成

SELECT * FROM user WHERE username = 'step'

二.${}

<select id="getUser" parameterType="java.lang.String" resultType="com.kenneth.model.entity ">
        SELECT * FROM user WHERE username = ${name}
</select>

当你的name传入step时,sql会变成

SELECT * FROM user WHERE username = step

三.SQL注入

SQL注入只有where 条件产生效果假如我们有登录接口,我们xml中的SQL语句是这样的

select * from user where username ='***' and password ='***'

我们数据库里面有这些东西
在这里插入图片描述但是当我们向数据库里面账号密码传入 1’ or 1='1之后我们查到的是这样的
传入1’ or ‘1’='1 同理
在这里插入图片描述
它查询出来了所有信息,这对我们来说是不安全的,因为我们传入1’ or 1='1 之后,我们的SQL语句变成了恒成立的式子,所以我们这个是不安全的,所以我们一般都是用#{}来在xml里面取值。但我们自己知道需要修改SQL本身的时候我们可能会用**${}**来进行

step by step.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
mybatis入门--#{}和${}的区别
weixin_30846599的博客
02-14 67
我们知道,在mybatis,sql语句是需要我们自己写的。跟在普通的sql不一样的是,我们在使用mybatis框架的时候,使用的占位符不是 ? 而是 #{} 有时候还会出现这个符号 ${} 这些符号都代表啥呢? #{}表示一个占位符号,通过#{}可以实现preparedStatement向占位符设置值,自动进行java类型和jdbc类型...
Mybatis#{...}和${...}的区别
NewBeeMu的博客
08-31 248
#{…}:会把参数的位置使用“?”做占位符,执行SQL的时候才会替换“?”的值 ${…}:直接把参数的值作为SQL的一部分来执行→可能会有SQL注入的问题 如何选用: ...:当插入的参数是作为SQL执行的一部分的时候必须使用{...}:当插入的参数是作为SQL执行的一部分的时候必须使用...:当插入的参数是作为SQL执行的一部分的时候必须使用{…} #{…}:当传入的参数是同数据库进行交互的时...
深刻理解MyBatis#{}和${}的区别
图图小淘气的博客
10-31 241
示例: 首先看一下下面这两个sql语句的区别: <select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap"> select id, username, password, role from user where username ...
Mybatis#{}和${}的区别
空夜's Blog
07-20 2806
默认情况下,使用#{}格式的语法会导致Mybatis创建PreparedStatement参数并安全地设置参数(就像使用?一样)。这样做更安全,更迅速,通常也是首选做法,不过有时你就是想直接在SQL语句插入一个不转义的字符串。比如,像ORDER BY,你可以和这样来使用:ORDER BY ${columnName} 优先使用#{} 而${}会导致SQL注入的问题–所谓S...
Mybatis $与#的区别
LWQ844173684的博客
07-27 252
1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'.  2 $是将传入的数据直接显示生成sql语句,eg:select id,name,age from studen
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
MyBatis#{}和${}的区别详解
qq_29700907的博客
06-19 445
mybatis和ibatis总体来讲都差不多的。下面小编给大家探讨下mybatis#{}和${}的区别,感兴趣的朋友一起学习吧 最近在用mybatis,之前用过ibatis,总体来说差不多,不过还是遇到了不少问题,再次记录下. 先给大家介绍下MyBatis#{}和${}的区别,具体介绍如下: 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id
mybatis的#{}和${}的区别
习惯有你&的博客
07-08 987
mybatis的#{}和${}的区别 一般如果可以使用#{}就不要使用${}符号。 1.如果是在mapper #{param}会产生PreparedStatement,并且可以安全地设置参数(=?)的值。以为sql语句已经预编译好了,传入参数的时候,不会重新生产sql语句。安全性高。 ${parem}则直接将{}号的param插入字符串,会产生sql注入的问题: 例如:sele
MyBatis ${}和 #{}千万不要乱用
热门推荐
小布1994的博客
07-26 3万+
1、#{}是预编译处理,MyBatis在处理#{ }时,它会将sql的#{ }替换为?,然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号,如上面的值 “4,44,514”就会变成“ ‘4,44,514’ ”; 2、是字符串替换,在处理是字符串替换,MyBatis在处理时,它会将sql的{}是字符串替换,在处理{ }是字符串替换, MyBat...
MyBatis的#{}和${}的区别
小熊的博客
04-08 2279
MyBatis的#{}和${}的区别 #{}是预编译处理,${}是字符串替换。 详情: (1)mybatis在处理#{}时,会将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值。 (2)mybatis在处理时,就是把{}时,就是把时,就是把{}替换成变量的值。 (3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输入非法参数,也不会对SQL的结构产生影响,从而避免了潜在的安全风险。 (4)预编译是
mybatis #{}和${}的区别、传参、基本语法
wutongyuWxc的博客
11-28 4371
1 #{}和${}的区别、及注入问题 (1) 区别: 首先清楚一点,动态 SQL 是 mybatis 的强大特性之一,在 mapper 定义的参数传到 xml 之后,在查询之前 mybatis 会对其进行动态解析,#{} 和 ${} 在预编译的处理是不一样的: 例如:select * from t_user where userName = #{name}; #{...
mybatis#和$的区别
灰太狼
03-22 2万+
mybatis接口mapper文件引用传入的参数是通过#{param}或者${param}来使用的。1.数据类型匹配#:会进行预编译,而且进行类型匹配$:不进行数据类型匹配2.实现方式 #:用于变量替换$:实质上是字符串拼接3.#和$的使用场景(1)变量的传递,必须使用#,使用#{}就等于使用了PrepareStatement这种占位符的形式,提高效率。可以防止sql注入等等问题。#方式一般用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值