MyBatis的使用3

已于 2023-03-08 12:49:53 修改
阅读量149 收藏
点赞数
文章标签: mybatis sql java
于 2023-03-08 12:46:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45866899/article/details/129380162
版权

一、区别#{ }和 ${ }

1.#{ }设置占位符

String sql = "select * from userinfo where id = ? ";

statement.setInt(1,id)

2.${ }直接拼接

String sql ="select * from userinfo where id=" + id;

#{ }会进行预处理,不存在安全隐患

${ }会进行拼接处理,存在安全隐患

简单说,#{ }会给中间的内容加' ',而${ }什么都不加

${ }的使用场景

当需要传递的参数是一个SQL语句(不是某个参数的值)的时候,只能以${ }的形式

比如需要传递的是desc或者asc的时候,他们是SQL语句,不是参数的值。

 二、使用${ }可能导致SQL注入的问题

举例:

我们设计的两个参数username 和 password

以${ }的方式

 

select *  from userinfo where username='${ }' and password='${ }'

进行直接替换之后,我们得到了这样的语句

select *  from userinfo where username='username' and password='password' or 1 = '1';

我们发现,username和password的判断被绕过了。

所以,平时尽量用#{ }的形式,只用在SQL语句(数量有限的)需要拼接时,使用${ }

以此来避免SQL注入的风险。

三、模糊查询

使用拼接函数concat(‘ X ',#{ },’ X ‘)

 

 

 

Sprendipity
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring boot整合mybatis使用c3p0数据源连接mysql
08-27
"spring boot整合mybatis使用c3p0数据源连接mysql" 本文主要介绍了如何使用 Spring Boot 框架与 MyBatis 框架集成,并使用 C3P0 数据源连接 MySQL 数据库。下面是相关知识点的总结: 一、Spring Boot 框架概述 * ...
mybatis学习使用
07-31
MyBatis学习使用 MyBatis是一个持久层的框架,封装了JDBC功能,支持定制化SQL,屏蔽所有JDBC代码,使 用XML和注解配置,数据库映射到JAVA对象。MyBatis可以复杂定制,效率略低于Hibernate。 MyBatis的特点: 1. ...
MyBatis模糊查询的三种拼接方式
weixin_30808693的博客
03-17 330
1. sql中字符串拼接 SELECT * FROM tableName WHERE name LIKE CONCAT(CONCAT('%', #{text}), '%'); 2. 使用 ${...} 代替 #{...} SELECT * FROM tableName WHERE name LIKE '%${text}%'; ${}解析过来的参数值不带单引号,#...
MyBatis拼接字符串的几种方式
qq_34786108的博客
04-04 1万+
MyBatis拼接字符串的几种方式
mybatis常见用法总结
weixin_41501825的博客
08-14 1707
mybatis常见用法总结~~
mybatissql拼接成String类型的变量当做参数传入执行
qq_22216141的博客
02-24 3651
mybatissql拼接成String类型的变量当做参数传入执行 mybatissql拼接成String类型的变量当做参数传入执行 遇坑 之前传参数都是使用#{}的方式去传递,这样SQL就能拼接传来. 但是这次是一个完整的string类型的sql变量传入,**我很天真的.......#{sql}.** 很尴尬,出错了!!!! 错误提示就是,某某某处语法错误.但是如果把sql语句在数据库执行...
mybatis 动态拼接 sql参数
weixin_43357106的博客
08-29 4994
mybatis 动态拼接参数
Mybatis使用文档
03-11
# MyBatis 使用文档 ## 一、MyBatis 概述 MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使你更好地...
mybatis基本使用
最新发布
03-14
以下是一个基本的 MyBatis 测试使用的描述: 1. 环境准备 首先,确保你已经安装了 Java 和 Maven,并且有一个可用的数据库环境(如 MySQL)。然后,在 Maven 项目中添加 MyBatis 的依赖。 2. 配置 MyBatis 在项目的 ...
mybatis简单使用demo
04-22
mybatis简单使用mybatis简单使用demomybatis简单使用demomybatis简单使用demomybatis简单使用demomybatis简单使用demomybatis简单使用demomybatis简单使用demomybatis简单使用demomybatis简单使用demomybatis简单...
MyBatis动态拼接SQL
04-08
MyBatis动态拼接SQL
MyBatis动态SQL拼接
qq_55851764的博客
05-22 3616
Mybatis框架的动态SQL技术是一种根据特定条件动态拼装SQL语句的功能,它存在的意义是为了解决 拼接SQL语句字符串时的痛点问题。
mybatis字符串拼接
muranchenhui的博客
06-02 9568
MyBatis拼接字符串有两种方式。1、 使用CONCAT 函数SELECT * FROM user WHERE name LIKE CONCAT(CONCAT(‘%’, #{name}), ‘%’)2、 使用${ } 代替 #{ }因为${ }直接传入SQL,而#{ }传入的是字符串带有引号SELECT * FROM user WHERE name LIKE ‘%${name}%’原因: #{}能够有效防止SQL注入,但是也有它的缺点,它会把传入的数据自动加上一个双引号,所以如果要的是数字的话,就会比
MyBatis 中 #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1252
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS中 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
mybatis 模糊查询字符拼接(以mysql为例)
chouzizi的博客
08-06 2139
第一种: 使用mysql拼接函数,concat(),好处是使用#{}占位符可以防止sql注入,不好的地方是,如果换其他数据库的话,需要修改 <select id="list" parameterType="com.pkbin.blog_v2.blog.entity.MessageEntity" resultMap="messageMap"> select * from message <where> <if tes...
MyBatis 拼接字符串
m0_67393827的博客
04-06 3382
MyBatis拼接字符串有两种方式。 1、 使用CONCAT 函数 SELECT * FROM user WHERE name LIKE CONCAT(CONCAT(‘%’, #{name}), ‘%’) 2、 使用${ } 代替 #{ } 因为${ }直接传入SQL,而#{ }传入的是字符串带有引号 SELECT * FROM user WHERE name LIKE ‘%${name}%’ ...
《深入理解mybatis原理(十二)》 mybatis深入理解之#与$区别
热门推荐
pfnie的博客
11-19 1万+
一、介绍       mybatis使用 Mapper.xml里面的配置进行 sql 查询,经常需要动态传递参数,例如我们需要根据用户的姓名来筛选用户时,sql 如下: select * from user where name = "Jack";上述 sql 中,我们希望 name 后的参数 "Jack" 是动态可变的,即不同的时刻根据不同的姓名来查询用户。在 Ma
(九)Mybatis的#{}占位符和${}拼接符的区别
秦怀杂货店
06-26 5197
注:代码已托管在GitHub上,地址是:https://github.com/Damaer/Mybatis-Learning,项目是mybatis-05-CURD,需要自取,需要配置maven环境以及mysql环境,觉得有用可以点个小星星,小菜鸟在此Thanks~ 1.#{}占位符 1.#{}占位符可以用来设置参数,如果传进来的是基本类型,也就是(string,long,double,in...
mybatis 拼接_关于 Mybatis的 $ 和 # , 你真的知道他们的细节吗?
weixin_39580715的博客
12-09 720
前言在JDBC中,主要使用的是两种语句,一种是支持参数化和预编译的PrepareStatement,能够支持原生的Sql,也支持设置占位符的方式,参数化输入的参数,防止Sql注入,一种是支持原生Sql的Statement,有Sql注入的风险。在使用Mybatis进行开发过程中,隐藏了底层具体使用哪一种语句的细节,我们通过使用#和$告诉Mybatis,我们实际上进行的是怎么样的操作,需要对语句进行参...
MyBatis 3 用户指南
"MyBatis-3-User-Guide 是一份关于MyBatis 3的用户指南,旨在帮助开发者理解和使用这个流行的Java持久层框架。警告提示用户在复制文档中的代码时要注意,因为现代文本处理器可能会引入特殊字符,导致代码示例无法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值