06-Mybatis ${} 和 #{}

已于 2024-02-18 20:42:35 修改
阅读量484 收藏
点赞数
分类专栏: Mybatis 文章标签: mybatis java 数据库
于 2023-06-15 17:22:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47128897/article/details/131232264
版权

在 MyBatis 中,${} 和 #{} 都可以用于在 SQL 语句中引用参数,它们的作用类似于 Java 中的字符串拼接和预编译机制。

  • ${} 和 #{} 都可以用于在 SQL 语句中引用参数,但是作用不同。
  • ${} 表示拼接 SQL 字符串,会将传入的参数直接拼接到 SQL 中,可能引发 SQL 注入的风险。
  • #{} 表示预编译 SQL,会将传入的参数添加到预编译语句中,并使用占位符 ? 替代实际的参数值,相当于对参数值进行了转义,避免了 SQL 注入的风险。

1 ${}:表示拼接 SQL 字符串,会将传入的参数直接拼接到 SQL 中,由此可能引发 SQL 注入的风险。在某些情况下,${} 语法可能是必须的,例如在动态 SQL 中使用 ${} 可以更方便地拼接 SQL 片段。

举个例子,假设有如下需求:

<select id="findUserById" resultType="User">
    SELECT * FROM user WHERE id = ${userId}
</select>

在该 SQL 语句中,我们通过 ${} 引用了一个名为 userId 的参数,并将其直接拼接到 SQL 中。这种方式可能会导致 SQL 注入,例如当 userId 参数的值为 1 OR 1=1 时,查询条件会变为 WHERE id = 1 OR 1=1,导致查询结果不安全。

2 #{}:表示预编译 SQL,会将传入的参数添加到预编译语句中,并使用占位符 ? 替代实际的参数值,相当于对参数值进行了转义,从而避免了 SQL 注入的风险。在执行 SQL 时,MyBatis 会将占位符替换成实际的参数值。

举个例子,假设有如下需求:

<select id="findUserById" resultType="User">
    SELECT * FROM user WHERE id = #{userId}
</select>

在该 SQL 语句中,我们通过 #{} 引用了一个名为 userId 的参数,并将其添加到预编译语句中。在执行 SQL 时,MyBatis 会根据传入的参数值,将占位符 ? 替换成实际的参数值,从而避免了 SQL 注入的风险。

Gy-qwert
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MyBatis中井号与美元符号的区别
litlit023的专栏
02-26 2502
参考链接 MyBatis中井号与美元符号的区别 - coderland - 博客园
02-javaweb-06-Mybatis.doc
10-14
02-javaweb-06-Mybatis.doc
mybatis语法
Eddie-Wang的博客
04-26 442
被<![CDATA[]]>这个标记所包含的内容将表示为纯文本,比如<![CDATA[<]]>表示文本内容“<”。
【MyBatis 深入学习】MyBatis中${} 以及#{} 不同
weixin_42373116的博客
03-14 258
从今天开始 让我们了解下关于MyBatis的使用细节,以及底层原理。同时 我们也会从JDBC的发展史来说。JDBC(Java DataBase Connectivity, Java数据库连接) ,是一种用于执行SQL语句的Java API,为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成简单来说就是Java 实现了一套关于JDBC相关接口,可以理解为是JDBC规范。数据库厂商为了能在Java中使用其语言,必须实现这套规范。大致过程如下图:其实我们平常使用的jar包。
mybatis中`${}`使用【特殊SQL】
weixin_47267628的博客
05-04 1841
特殊SQL的执行 1.模糊查询【重点】 由于模糊查询传入是一个字符串 模糊查询的三种方式 方式一:%${值}% 方式一:注意是一定不能使用#{}没有拼接字符串的作用,会直接当作为%#{值}%一个字符串,所以会报错 select * from t_user where username like '%${username}%'; 方式二:concat('%',#{值},'%') 使用concat函数,来拼接字符串 select * from t_user where username like conca
转 - mybatis中${}、 #{}区别及应用场景
weixin_30417487的博客
07-17 470
转与https://www.jianshu.com/p/bbeff97d41eb 动态sql是mybatis的主要特性之一。在mapper中定义的参数传到xml中之后,在查询之前mybatis会对其进行动态解析。 mybatis提供了两种支持动态sql的语法:#{} 、${}。 select * from t_user where username = '${username}';...
DAY06-MYBATIS框架基础-01.pdf
06-11
这样做是因为Mybatis和Spring的集成可以通过添加相应的依赖来完成。 以下是在`pom.xml`文件中需要添加的关键依赖: 1. Mybatis核心依赖: ```xml <groupId>org.mybatis <artifactId>mybatis <version>3.5.6 `...
06-04科文-22软件1-mybatis搭建.wmv
06-11
06-04科文-22软件1-mybatis搭建.wmv
06-18-科文22软件-mybatis-spring整合-上午.wmv
最新发布
06-18
06-18-科文22软件-mybatis-spring整合-上午.wmv
06-11-科文22软件1-mybatis动态sql.wmv
06-17
06-11-科文22软件1-mybatis动态sql.wmv
hello-mybatis
03-08
你好,mybatis通过仿写mybatis框架,学习其核心原理,提升自身知识储备深度1.模块说明: 持久性框架iframework-test自定义框架的使用端测试mybatis-...功能迭代说明2021-03-06初始框架实现,完成数据库查询功能
original-mybatis-3.4.1-SNAPSHOT.jar
06-17
2.获取方式:2016.06.17在git上下载的mybatis的源码,通过maven编译生成。 3.备注:该jar包相关的解释没有找到,暂时先上传上去,要用mybatis的jar包http://download.csdn.net/detail/wodediqizhang/9552627来进行...
Mybatis-06.zip
01-06
【Mybatis学习笔记-06】这一压缩包文件包含了学习Mybatis框架的重要资源,主要包含以下几个部分: 1. **pom.xml** - 这是Maven项目对象模型(Project Object Model)的配置文件,用于定义项目的依赖管理和构建过程...
06实现mybatis分页插件demo
04-22
06实现mybatis分页插件demo06实现mybatis分页插件demo06实现mybatis分页插件demo06实现mybatis分页插件demo06实现mybatis分页插件demo06实现mybatis分页插件demo06实现mybatis分页插件demo06实现mybatis分页插件demo...
MyBatis-06 逆向工程
07-12
"MyBatis-06 逆向工程"这一主题是关于MyBatis的一个核心特性,即代码生成器(Generator),它能极大地提高开发效率,帮助开发者自动生成基于数据表的JavaBean、Mapper接口以及SQL映射文件。 逆向工程,也称为反向...
深刻理解MyBatis中#{}和${}的区别
图图小淘气的博客
10-31 229
示例: 首先看一下下面这两个sql语句的区别: <select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap"> select id, username, password, role from user where username ...
mybatis动态拼接sql
qq_51177455的博客
03-01 588
背景:根据业务需要,每个月生成一张根据年份和月份的表,然后当前的数据存到当前月份的表。 关键代码: 注意:#{}和${}区别 #{} :表示占位符, 采用预编译方式,可以防止SQL注入 ${}: 表示拼接符,采用直接赋值方式,无法阻止SQL注入攻击 ...
mybatis的$#详解分析
易的博客
04-08 636
MyBatis中#{}和${}的作用与区别_陈三千的博客-CSDN博客_mybatis${}有什么用 MyBatis中#{}和${}的作用与区别 MyBatis中#{}和${}的作用与区别_陈三千的博客-CSDN博客_mybatis${}有什么用 在mybatis中#$的主要区别是:#传入的参数在SQL中显示为字符串,#方式能够很大程度防止SQL注入;$传入的参数在SQL中直接显示为传入的值,$方式无法防止SQL注入。 1、传入的参数在SQL中显示不同 #{} 将传入的参数(数据).
mybatis的#{}占位符和${}拼接符
Meiko记录
01-14 2651
#{}占位符:占位 使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句中如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且在使用#{}时形成的sql语句,已经带有引号,例,select * from table1 where id=#{id} 在调用这个语句时我们可以通过后台看到打印出的sql为:select * from table1 where id=‘2’ 加入传的值为2.也就是说在组成sql语句的时候把参数默认为字符串。
postgresql使用mybatis-plus做时间范围查询,搜索数据库内结束时间大于等于2023-06-06且开始时间小于等于2023-06-06的数据,java代码如何实现?
06-08
可以使用Mybatis-Plus的LambdaQueryWrapper来实现时间范围查询,具体实现方式如下: ```java // 创建 LambdaQueryWrapper 对象 LambdaQueryWrapper<Data> queryWrapper = new LambdaQueryWrapper<>(); // 设置时间范围查询条件 queryWrapper.between(Data::getEndTime, LocalDate.of(2023, 6, 6), LocalDate.of(2023, 6, 6)) .and(wrapper -> wrapper.le(Data::getStartTime, LocalDate.of(2023, 6, 6))); // 执行查询操作 List<Data> dataList = dataMapper.selectList(queryWrapper); ``` 其中,`Data`是实体类,`startTime`和`endTime`是时间类型的属性字段。在`between`方法中,第一个参数是实体类中的属性字段,第二个和第三个参数分别是起始和结束时间,表示查询`endTime`在这个时间范围内的数据。在`and`方法中,使用Lambda表达式组合了两个查询条件,`le`表示小于等于,表示查询`startTime`小于等于2023-06-06的数据。 需要注意的是,时间范围查询的起始和结束时间需要以`java.time.LocalDate`类型传入,可以使用`LocalDate.of`等方式来构造时间对象。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值