在mybatis中#{}与${}的区别,以及一条sql中同时使用出现${}和#{}会出现的问题

最新推荐文章于 2022-11-21 16:55:34 发布
最新推荐文章于 2022-11-21 16:55:34 发布
阅读量3.3k 收藏 1
点赞数 3
分类专栏: mybatis 文章标签: mybatis mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_49721447/article/details/119131053
版权

在mybatis中#{}与${}的区别

先来看两个例子,假设在数据库中有一个name字段,它的类型是varchar,当通过这个字段进行查询语句时,在xml文件中可以使用where name = #{name}或者where name = “${name}”
假设在数据库中还有一个id字段,它的类型为int,当通过这个字段进行查询语句时,在xml文件中可以使用where id = #{id}
或者where id = ${id}。
在上面这两个例子中,我们可以看到#{}都没有加上双引号, ${ }有一个加上了双引号。之后通过尝试多种数据类型后发现,当为string类型的时候,#{ }会自动将其加上双引号, ${ }解析的时候不会加上双引号,原来是什么现在还是什么。因此 ${ }容易造成SQL注入,而#{}可以很大程度的防止这种。 ${ }一般用于order by 语句也就是排序,因此如果order by #{pwd},pwd是string类型,则这条排序语句就相当于:order by “pwd”,会报错。

注意:在一条sql语句中${}和#{}不要同时使用,否者会出错,因为 ${}和#{}在一条sql语句中,会立刻执行 ${}, #{}执行不了

☆叙
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Mybatis通过一条SQL查出关联的对象
04-24
NULL 博文链接:https://elim.iteye.com/blog/2346389
一些特殊SQL使用Mybatis的#{}和${}注意点
神笔码农.的博客
10-18 1993
Mybatis对JDBC进行了进一步封装,使得我们可以更加便捷的使用Java操作数据库。#{}和${}在大部分情况下,#{}和${}都能相互替代,使用两者之一即可,更加推荐使用#{},因为可以防止SQL注入问题,但是由于#{}和${}本质上的不同,部分SQL语句使用#{}和${}需要格外注意。
Mybatis $ 和 #千万不要乱用
嘻哈熊的专栏
03-13 996
开头 这是一次代码优化过程发现的问题,在功能优化后发现部分数据查不到出来了,问题就在于一条 sql 上的 #和 $。 下图为两条 sql: 从图上可以看出 wwlr.LabelId in(${showLabels}) 和 wwlr.LabelId in(#{showLabels}),其 showLabels 是传进来一个字符串类型的参数,参数的样子是这样的 “4,44,514”,问题就出在这个参数传进来后 #和 $ 处理的方式是不一样的。 区别 1、#{} 是预编译处理,MyBatis 在处理 #{}
MyBatis#{}和${}
weixin_46155048的博客
10-28 3789
MyBatis有两种动态传递参数的方式#{},${} #{}:占位符 KaTeX parse error: Expected 'EOF', got '#' at position 9: {}:拼接符 #̲{}是预编译,{}是字符串拼接 变量替换后#{}自动加上单引号,${}不加上单引号 #{}能防止sql注入 ${}不能防止sql注入 #{} 和 KaTeX parse error: Expected 'EOF', got '#' at position 20: …实例:假设传入参数为 1
mybatisforeach的用法及#{}和${}的区别
kbh528202的博客
07-03 4917
foreach用法     SQL语法有时使用IN关键字,例如id in (1,2,3).可以使用${id}方式取值,但这种写法不能给你防止SQL注入,想避免SQL注入就需要用#{}的方式,这时就要配合使用foreach标签来满足需求。     foreach包含以下属性: - collec
mybatis的#和$的区别
热门推荐
kobi521的专栏
11-25 11万+
1. #将传入的数据都当成一个字符串,对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是111,那么解析成sql时的
mybatis统计每条SQL的执行时间的方法示例
01-21
最近面试经常被问到关于数据库的事务的问题,可能平时我就知道加个注解@Transactional之后就一脸懵逼的。现在发现这一块真的是常常被忽略了,然而面试官就是最喜欢这种看是不常用,但是非常重要的问题,进而达到...
Oracle结合Mybatis实现取表TOP 10条数据
09-09
主要介绍了Oracle结合Mybatis实现取表TOP 10条数据的相关资料,需要的朋友可以参考下
史上最简单的MyBatis动态SQL入门示例代码
08-31
动态sql,可以根据用户对字段选择和输入,动态生成一条sql执行。接下来通过本文给大家分享MyBatis动态SQL入门示例代码,一起看看吧
解决myBatis删除条件的拼接问题
01-19
Sql语句,当删除条件并不唯一的时候,我们有两种删除的sql语句,一种使用or拼接where的条件,例如delete from 表名where 条件1 or 条件2,另一种是使用in 例如delete from 表名where 元素in( ) 利用第一种删除...
MyBatis ${}和 #{}的正确使用方法(千万不要乱用)
08-18
主要介绍了MyBatis ${}和 #{}的正确使用方法,本文给大家提到了MyBatis ${}和 #{}的区别,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
SQL#和$的区别以及使用它们造成的问题
qq_37511997的博客
05-17 2206
不同点 ●使用#获取传入的数据在数据上加上引号。比如 where userId = #{userId },如果userId传入的值为1,那最终的sql就是 where userId = “1”; ●使用$获取传入的数据不对数据做任何改变,比如 where userId = #{userId },如果userId传入的值为1,那最终的sql就是 where userId = 1; ● #能够一定程度上防止SQL注入 ● $无法防止SQL注入 ● $一般用于传入数据库对象,例如传入表名。(仍存在S
MyBatis#{}与${}的使用
Future_LL的博客
06-25 460
MyBatis #{} 和 ${} 的主要区别 # 传入的参数在 SQL 显示为字符串,# 方式能够很大程度防止 SQL 注入 $ 传入的参数在 SQL 直接显示为传入的值,$ 方式无法防止 SQL 注入 其他区别 传入的参数在 SQL 显示不同 # 传入的参数在 SQL 显示为字符串(当成一个字符串),对自动传入的数据加一个双引号。 $ 传入的参数在 SQL 直接显示为传入的值 ...
sql注入介绍与实例操作( #{}和${})
weixin_43005654的博客
04-30 1904
sql注入介绍及实例操作(#{}、${})
数据库#{}和${}的区别,order by和limit后面${}替换的解决方案
m0_57640408的博客
01-21 3358
两者区别:#{}是预编译处理,${}是字符串替换 (1)mybatis在处理#{}时,sql的#{}替换为?号,调用PreparedStatement的set方法来赋值,sql在解析的时候加上" ",当成字符串来解析。 例如:#{123456, jdbcType=INTEGER} 预编译成:select * from tableName where id = ? ; 再变成:select * from tableName where id = '123456' ; (2)mybatis在处..
sql语句 #{}与${}的用法
cmjimmy的博客
08-24 1万+
1介绍 测试 ${} 在没有特殊要求情况下,通常我们使用#{}占位符,有些情况下必须使用${}了解即可 例如:需要动态拼接表名. 下面是模糊查询的应用#{}与${} 下面是错误的使用#{} 下面是正确的方式使用#{}模糊查询 掌握. ...
Mybatis使用${}和使用#{}
书启鸿蒙知秋枫
11-21 1957
Mybatis在对#{}进行预处理时,把#{}处理成占位符,实际执行的时候才把参数替换进去,相当于jdbc的PreparedStatement。上面这个配置实际打印出来的sql为这样有效的预防了sql注入。上面这个配置实际打印出来的sql为${} 则只是简单的字符串替换,在动态解析阶段,该 sql 语句直接将变量值替换进去,这样就有可能发生sql注入的风险。
工作发狂:MyBatis $ 和 # 千万不要乱用!
芋道源码
07-24 589
点击上方“芋道源码”,选择“设为星标”做积极的人,而不是积极废人!源码精品专栏文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析...
mybatis执行完一条sql再去执行另外一条
最新发布
06-01
MyBatis 执行多条 SQL 语句通常有两种方式: 1. 使用多个 `select`、`insert`、`update`、`delete` 标签分别定义每个 SQL 语句,然后在 Java 代码分别调用它们。 2. 使用 MyBatis 提供的 `selectKey`、`insert`、`update`、`delete` 标签来定义多个 SQL 语句,然后在 Java 代码执行它们。 对于第一种方式,你可以在 MyBatis 的 Mapper XML 文件定义多个 `select`、`insert`、`update`、`delete` 标签,然后在 Java 代码分别调用这些标签对应的 SQL 语句。例如: ```xml <!-- 定义第一个 SQL 语句 --> <select id="selectUserById" parameterType="int" resultType="User"> SELECT * FROM user WHERE id = #{id} </select> <!-- 定义第二个 SQL 语句 --> <update id="updateUser" parameterType="User"> UPDATE user SET name = #{name}, age = #{age} WHERE id = #{id} </update> ``` 然后在 Java 代码分别调用这两个 SQL 语句: ```java SqlSession sqlSession = sqlSessionFactory.openSession(); try { // 调用第一个 SQL 语句 User user = sqlSession.selectOne("selectUserById", 1); // 调用第二个 SQL 语句 user.setName("John"); user.setAge(30); sqlSession.update("updateUser", user); sqlSession.commit(); } finally { sqlSession.close(); } ``` 对于第二种方式,你可以在 MyBatis 的 Mapper XML 文件使用多个 `selectKey`、`insert`、`update`、`delete` 标签定义多个 SQL 语句,然后在 Java 代码使用 `SqlSession` 的 `selectOne`、`insert`、`update`、`delete` 方法执行这些 SQL 语句。例如: ```xml <!-- 定义第一个 SQL 语句 --> <insert id="insertUser" parameterType="User"> <selectKey resultType="int" keyProperty="id" order="BEFORE"> SELECT IFNULL(MAX(id), 0) + 1 FROM user </selectKey> INSERT INTO user (id, name, age) VALUES (#{id}, #{name}, #{age}) </insert> <!-- 定义第二个 SQL 语句 --> <update id="updateUser" parameterType="User"> UPDATE user SET name = #{name}, age = #{age} WHERE id = #{id} </update> ``` 然后在 Java 代码分别调用这两个 SQL 语句: ```java SqlSession sqlSession = sqlSessionFactory.openSession(); try { // 调用第一个 SQL 语句 User user = new User(); user.setName("John"); user.setAge(30); sqlSession.insert("insertUser", user); // 调用第二个 SQL 语句 user.setName("John Doe"); user.setAge(31); sqlSession.update("updateUser", user); sqlSession.commit(); } finally { sqlSession.close(); } ``` 无论哪种方式,你都可以在 Java 代码执行多个 SQL 语句,只需要在 `SqlSession` 依次调用对应的方法即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

☆叙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值