【MybBatis细节篇】MyBatis中#{}和${}的区别

已于 2023-01-07 13:39:27 修改
阅读量4.4k 收藏 59
点赞数 13
分类专栏: # JavaWeb开发 文章标签: java mybaits 数据库
于 2021-12-02 15:30:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45297578/article/details/121677970
版权

【MybBatis细节篇】MyBatis中#{}和${}的区别


在MyBatis 的映射配置文件中,动态传递参数有两种方式:
1、 #{} 占位符
2、 ${} 拼接符

#{} 和 ${} 的区别

区别1

  • #{} 为参数占位符 ?,即sql 预编译
  • ${} 为字符串替换,即 sql 拼接

区别2、

  • #{}:动态解析 -> 预编译 -> 执行
  • ${}:动态解析 -> 编译 -> 执行

区别 3、

  • #{} 的变量替换是在DBMS 中
  • ${} 的变量替换是在 DBMS 外

区别 4、

  • 变量替换后,#{} 对应的变量自动加上单引号 ''
  • 变量替换后,${} 对应的变量不会加上单引号 ''

区别 5、

  • #{} 能防止sql 注入
  • ${} 不能防止sql 注入

#{} 和 ${} 的实例:假设传入参数为 1

实例步骤一

#{}:select * from t_user where uid=#{uid}

${}:select * from t_user where uid= '${uid}'

实例步骤二

#{}:select * from t_user where uid= ?

${}:select * from t_user where uid= '1'

实例步骤三

#{}:select * from t_user where uid= '1'

${}:select * from t_user where uid= '1'

#{} 和 ${} 的大括号中的值

单个参数的情形

#{}

无Mybaits默认值,可任意,且与参数无关
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

${}

1、 使用Mybaits默认值value,即${value}
在这里插入图片描述在这里插入图片描述

2、使用自定义参数名,前提:在映射器接口方法的参数前加注解@Param(“”)
在这里插入图片描述
在这里插入图片描述

多个参数的情形

#{}

1、使用Mybatis默认值arg0、arg1、arg2…或param1、param2、param3…
在这里插入图片描述
在这里插入图片描述

2、 使用自定义参数名,前提: 在映射器接口方法的参数前加注解@Param(“”)
在这里插入图片描述
在这里插入图片描述

错误的使用的多个参数的情况

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

${}

1、使用Mybatis默认值arg0、arg1、arg2…或param1、param2、param3…
在这里插入图片描述
在这里插入图片描述

2、 使用自定义参数名,前提: 在映射器接口方法的参数前加注解@Param(“”)
在这里插入图片描述
在这里插入图片描述

#{} 和 ${} 在使用中的技巧和建议

1、不论是单个参数,还是多个参数,一律都建议使用注解@Param("")
2、 能用 #{} 的地方就用 #{},不用或少用 ${}
3、表名作参数时,必须用 ${}。如:select * from ${tableName}
4、order by 时,必须用 ${}。如:select * from t_user order by ${columnName}
5、表名处用#{}会直接报错;order by后面用#{}排序不生效
6、使用 ${} 时,要注意何时加或不加单引号,即 ${} 和 '${}'。一般字段类型为char或者varchar时需要加单引号

${}的使用场景举例

当 SQL 语句中的元数据(如表名或列名)是动态生成的时候,字符串替换将会非常有用。 举个例子,如果你想 select 一个表任意一列的数据时,不需要这样写:

@Select("select * from user where id = #{id}")
User findById(@Param("id") long id);

@Select("select * from user where name = #{name}")
User findByName(@Param("name") String name);

@Select("select * from user where email = #{email}")
User findByEmail(@Param("email") String email);

// 其它的 "findByXxx" 方法

而是可以只写这样一个方法:

@Select("select * from user where ${column} = #{value}")
User findByColumn(@Param("column") String column, @Param("value") String value);

其中 ${column} 会被直接替换,而 #{value} 会使用 ? 预处理。 这样,就能完成同样的任务:

User userOfId1 = userMapper.findByColumn("id", 1L);
User userOfNameKid = userMapper.findByColumn("name", "kid");
User userOfEmail = userMapper.findByColumn("email", "noone@nowhere.com");

这种方式也同样适用于替换表名的情况。

提示: 用这种方式接受用户的输入,并用作语句参数是不安全的,会导致潜在的 SQL 注入攻击。因此,要么不允许用户输入这些字段,要么自行转义并检验这些参数。

李熠漾
关注
  • 13
    点赞
  • 59
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
MyBatisMyBatisMyBatis-Plus的区别
四季轮换叶,一路招摇胜
09-12 5万+
mybatis-plus 是 mybatis 的增强工具,在 MyBatis 的基础上只做增强不做改变,为简化开发、提高效率而生。
iBatis 和 MyBatis的写法区别
蓝沐的博客
08-02 5113
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射,它是iBatis的后序版本。下面了解一下他们的异同:相同点: 1、都是持久化框架,属于apache下的项目,MyBatis是iBatis的改进版。 2、都封装了jdbc的代码,不用程序员再写注册驱动,获取connect连接等代码 3、都需要配置两类文件,1、配置数据源,事务等信息的全局配置文件;2、用于指定数据库表...
新人一看就懂: #{} 和 ${} 的区别
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
mybatis#{}和${}的区别
Zhangsama1的博客
08-27 4670
​1:尽量使用#{},只要能使用#{}解决,尽量使用#{}​2:表名作为参数,使用order by排序的时候使用${}3:多参数的时候尽量使用@Param注解,@Param注解作用为给参数命名,命名后即可根据名字得到对应的参数值​。...
mybatis - 取值符号:# 和 $的区别
最新发布
pig_ning的博客
04-25 586
mybatis - 取值符号:# 和 $的区别
MyBatis #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1217
1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
MyBatis#{}和${}的区别
m0_67683346的博客
02-28 4661
MyBatis#{}和${}的区别
Mybatis常问:#{}与${}的区别
zjjcchina的博客
06-06 2084
查询到数据才可以是登录成功,否则表示登陆失败,但是会有这么一种情况,我们的SQL语句是由我们拼接的,如果用户故意输入可以让后台解析失败的字符串,这就是SQL注入,例如我们输入密码,输入 '''' ' or 1=1'' 这样,他会在后台进行拼接成select count(1) from table where username = 'username' and password = '' or 1=1;由结果可以看出,我们在没有密码的情况下依旧获取到了数据库的私密信息,由此可见${}存在很大的安全隐患。
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
MyBatis#{}和${}的区别详解
09-01
MyBatis框架,`#{}`和`${}`是两种不同的占位符,它们各自有不同的用途和特性。了解它们的区别对于编写安全、高效的SQL语句至关重要。 首先,`#{}`是预编译参数的表示方式,它会被MyBatis转化为...
MyBatis${} 和 #{} 有什么区别
分享Java技术知识,共同成长进步!
09-14 5657
${} 和 #{} 都是 MyBatis 用来替换参数的,它们都可以将用户传递过来的参数,替换到 MyBatis 最终生成的 SQL ,但它们区别却是很大的,接下来我们一起来看。 1.功能不同 ${} 是将参数直接替换到 SQL ,比如以下代码: 最终生成的执行 SQL 如下: 从上图可以看出,之前的参数 ${id} 被直接替换成具体的参数值 1 了。 而 #{} 则是使用占位符的方式,用预处理的方式来执行业务,我们将上面的案例改造为 #{} 的形式,实现代码如下: 最终生成的 S
mybatis的#{}和${}的区别
勿视人非 的专栏
05-21 3921
1. 取值范围不同 MyBatis既可以获取执行SQL时插入的请求参数,也可以从主配置文件加载的配置文件获取配置参数。 #{}只能获取请求参数的值,无法获取配置参数。 ${}在MyBatis初始化时能获取配置参数,如果没有,执行时再获取请求参数。 2. 处理方式不同 #{} 如果SQL只有#{}或者可以被配置参数替换的${},那么在初始化时#{}就被解析成了占位符?。 如果SQL有动态标签(例如if,where),或者无法被配置参数替换的${},那么#{}在执行SQL时才会被替换成占位符?。#{}的
一文解惑mybatis的#{}和${}
一个菜鸡的博客
07-19 4782
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
#{}与${}的区别
热门推荐
weixin_44863976的博客
09-08 1万+
#{}与${}的区别 区别 1. #{} 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符;而${}仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。 2. #{} 解析之后会将String类型的数据自动加上引号,其他数据类型不会;而${} 解析之后是什么就是什么,他不会当做字符串处理。 3...
mybatis #{}和${}的区别是什么
weixin_30895603的博客
04-16 1601
#{}和${}的区别是什么?正确的答案是:#{}是预编译处理,${}是字符串替换。(1)mybatis在处理#{}时,会将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值。(2)mybatis在处理${}时,就是把${}替换成变量的值。(3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输...
#{}和${}的区别
gulanga5的博客
11-04 9813
{}和${}的区别数据库数据图片:一、先说#{}例:mapper.xml如下1、#{}是一个占位符,相当于JDBC的一个?,会对一些敏感的字符进行过滤2、#{}底层采用的是PreparedStatement,会预编译(主要是里面的setString方法,对一些特殊的字符,例如’'单引号,会在值后面加上一个\右斜线进行转义,让值无效),因此不会产生sql注入例:请求:name=‘小明’debug运行查看。
Mybatis#和$ 的区别
06-03
MyBatis ,"#" 和 "$" 都可以用于 SQL 语句的参数替换,但它们的作用不同。 "$" 号表示直接拼接参数,可以将参数直接拼接到 SQL 语句,例如: ``` SELECT * FROM user WHERE id = ${id} ``` 在这个...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李熠漾

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值