Mybatis的#{}与${}占位符

最新推荐文章于 2023-07-10 18:50:19 发布
最新推荐文章于 2023-07-10 18:50:19 发布
阅读量695 收藏
点赞数 1
文章标签: mybatis java sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55112725/article/details/126859164
版权

      在使用Mybatis配置SQL语句时,SQL语句中的参数可以使用#{}格式的占位符, 还可以使用${}占位符。

      在MySQL处理SQL语句时,会经过词法分析、语义分析,然后再执行编译,最终执行

      在Mybatis中,使用#{}格式占位符,在底层实现时,是预编译的,先将sql语句拼接好,再将值替换到占位符处,不用考虑数据类型的问题,因为所有的数据会看成值。使用预编译处理机制是安全的,因为预编译的占位符处指挥认为是值,例如“a=1 or 1=1”只会被看作是值,orl连接词在sql语句中不起作用,所以不会出现SQL注入问题

      使用${}格式的占位符,在底层实现时,会先将值拼接到原SQL语句中,然后再执行编译的相关流程!由于不是预编译的,字符串、日期等类型的值需要添加一对单引号,否则,将被视为字段名、运算表达式等,由于是先代入值再执行编译相关流程,所以,代入的值是可以改变语义的,是存在SQL注入风险的!这种做法中,${}占位符可以表示SQL语句中的任何片段,只需要保证拼接起来后可以通过编译即可!

      在SQL语句中,除了关键词、数值、运算符、函数名等非常固定的内容以外,所有内容都会被视为某个名字,例如:表名、字段名或其它自定义的名称(例如索引名等),比较典型的应用。在SQL语句中,只有将值使用一对双引号框住(数值除外),才会被认为是“值”

     例子:

<select id="getStandardById" resultMap="StandardResultMap">
    SELECT
        <include refid="StandardQueryFields"/>
    FROM
        pms_album
    WHERE
        id=#{id}
</select>

使用#{}${}格式的占位符均可正常通过测试!

<select id="countByName" resultType="int">
    SELECT count(*) FROM pms_album WHERE name=#{name}
</select>

使用#{}格式的占位符可以正常通过测试,但是,使用${}格式的占位符则会出现下面错误:

Cause: java.sql.SQLSyntaxErrorException: Unknown column '小米13的相册' in 'where clause'
; bad SQL grammar []; nested exception is java.sql.SQLSyntaxErrorException: Unknown column '小米13的相册' in 'where clause'

SQL语句中将测试参数 小米13的相册 作为了列名(字段名)

�欢快↑㎡
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Mybatis日志参数快速替换占位符工具的详细步骤
08-18
主要介绍了Mybatis日志参数快速替换占位符工具的详细步骤,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Spring及Mybatis整合占位符解析失败问题解决
08-18
主要介绍了Spring及Mybatis整合占位符解析失败问题解决,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Mybatis-占位符#{}和${}的使用说明
m0_37965811的博客
05-31 2233
1、占位符 #{}是占位符,${}是拼接符。 #{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”. ${}将传入的数据直接显示生成在sql中。如:order by ${user_id},如果传入的值是111,那么解析成sql时的值为order by 111, 如果传入的值是id,则解析成的sql为orde
mybatis (二)占位符
weixin_44032502的博客
02-04 1012
占位符简介一、#{}二、${} 简介 mybatis占位符有两种:#{}、${}。 共同点: 都可以获取参数列表中的参数 不同点: #{}采取预编译的形式将参数设置到sql语句中,可以防止sql注入 ${}直接将取出的值拼装在了sql中,会出现安全问题 一、#{} 应用场景: 普通的条件参数占位 可应用在条件参数上 @select("select * from tb_test where id=#{id}") public Test findById(int id); 二、${} 应用场景: 可
Mybatis
qq_42682065的博客
06-25 158
##
Mybatis中的$和#
sillyyyy的博客
05-08 2447
SQL语句执行时,Mybatis会将$占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用$占位符可以在某些情况下提高SQL语句的性能,因为在预编译时不需要处理参数占位符。#用于预编译,表示参数占位符,例如:#{username}。在SQL语句执行时,Mybatis会将占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用#占位符可以有效地防止SQL注入攻击,因为Mybatis会将参数值转义后再替换占位符。使用哪种占位符取决于具体的需求,如果需要防止SQL注入攻击,则应该使用#占位符
MyBatis学习】占位符,sql注入问题,like模糊匹配等可能出现一定的问题,赶快与我一同去了解,避免入坑吧 ! ! !
m0_58097299的博客
06-17 2896
MyBatis学习】占位符,sql注入问题,like模糊匹配等可能出现一定的问题,赶快与我一同去了解,避免入坑吧 ! ! !
mybatis的#{}占位符和${}拼接符
Meiko记录
01-14 2581
#{}占位符:占位 使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句中如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且在使用#{}时形成的sql语句,已经带有引号,例,select * from table1 where id=#{id} 在调用这个语句时我们可以通过后台看到打印出的sql为:select * from table1 where id=‘2’ 加入传的值为2.也就是说在组成sql语句的时候把参数默认为字符串。
mybatis中的#{}和${}的区别
xiasiyu123456的博客
06-29 476
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{} 占位符 (2)${} 拼接符 2、#{} 和 ${} 的区别 (1) 1)#{} 为参数占位符 ?,即sql 预编译 2)${} 为字符串替换,即 sql 拼接 (2) 1)#{}:动态解析 -> 预编译 -> 执行 2)${}:动态解析 -> 编译 -> 执行 (3) 1)#{} 的变量替换是在DBMS(数据库) 中 2)${} 的变量替换是在 DBMS (数据库)外 (4) 1)变量替换后,#{} 对
Mybatis从0到1 SQL注入 参数占位符 XML配置 动态SQL
我亦无他,唯手熟尔
07-10 1220
预编译SQL有两个优势:性能更高更安全(防止SQL注入)性能更高:预编译SQL,编译一次之后会将编译后的SQL语句缓存起来,后面再次执行这条语句时,不会再次编译。(只是输入的参数不同)将敏感字进行转义,保障SQL的安全性。在页面原型中,列表上方的条件是动态的,是可以不传递的,也可以只传递其中的1个或者2个或者全部。而在我们刚才编写的SQL语句中,我们会看到,我们将三个条件直接写死了。如果页面只传递了参数姓名name 字段,其他两个字段 性别 和 入职时间没有传递,那么这两个参数的值就是null。
MyBatis学习:$占位符的使用
weixin_46281472的博客
08-06 1809
目前我本人正在学习MyBatis框架,在原先了解并且懵懵懂懂使用的基础上,开始系统正式的学习。阐述了MVC架构模式和三层架构,明晰了在Web项目中的普遍编码层次,回顾了JDBC连接数据库,建立了使用MyBatis和MySQL的Maven项目,解释了STDOUT_LOGGING日志和手动提交事务,记录了MyBatis中#占位符的使用方法,回顾了MyBatis执行SQL语句的过程和使用到的一些重要类和接口,记录了将固定化的代码整合到一个工具类MyBatisUtil中,以减少代码量。...
mybatis 日志 sql参数替换工具
05-30
非常好用的,就是你们所要的 Mybatis日志参数快速替换占位符 sql参数替换工具html
idea插件mybaits log 打印sql语句
07-23
亲测可用,jar包直接拖到idea窗口即可
动态sql解析引擎,类似mybatis动态sql的功能
最新发布
04-28
orange是一个动态sql引擎,类似mybatis的功能,解析带标签的动态sql,生成?占位符sql和?对应的参数列表。 借鉴了mybatis源码,相当于mybatis中的动态sql解析功能的抽取。 支持 if foreach where set trim
MyBatis -- 参数占位符 #{} 和 ${}
yyhgo_的博客
01-17 808
MyBatis -- 参数占位符 #{} 和 ${}
mybatis深入理解(一)之 # 与 $ 区别以及 sql 预编译
weixin_34038293的博客
03-16 217
mybatis 中使用 sqlMap 进行 sql 查询时,经常需要动态传递参数,例如我们需要根据用户的姓名来筛选用户时,sql 如下: select * from user where name = "ruhua"; 上述 sql 中,我们希望 name 后的参数 "ruhua" 是动态可变的,即不同的时刻根据不同的姓名来查询用户。在 ...
MyBatis Plus Mapper.xml映射文件常用标签<if>、<foreach>、#{}、${}等
hkl_Forever的博客
06-16 4110
2、常规获取参数使用 #{} 占位符即可,特殊情况也可以使用 ${} 拼接(例如根据多字段排序,需要使用 ${} 直接拼接,使用 #{} 不生效会报错)2、判断 String 字符串类型等于某个值,值需要加单引号,并且用 .toString() 转成字符串类型条件才会生效。1、判断集合类参数,判断!注意:判断常数类参数,只能判断!3、当使用 #{} 占位符不生效或报错的情况下,直接使用 ${} 拼接即可。注意:判断字符串类参数可以判断!1、#{} 是占位符,${} 是拼接参数。
Mybatis - 预编译的运用和原理
Zong_0915的博客
09-29 5063
首先我们来说下预编译的一个背景:我们知道一条SQL语句到达Mysql之后,Mysql并不是会马上执行它,而是需要经过几个阶段性的动作(细节的可以查看Mysql复习计划(一)- 字符集、文件系统和SQL执行流程缓存的检查。解析器解析。优化器解析。执行器执行。那么这几个阶段肯定是需要一定的时间的。而有时候我们一条SQL语句可能需要反复的执行,只不过里面的参数可能不一样,比如where子句中的条件。如果每次都需要经过上面的几个步骤,那么效率就会下降。因此为了解决这种问题,就出现了预编译
mybatis高级
girl23zhouzhou的博客
07-04 271
mybatis
mybatis #,$ 的区别
07-13
具体来说,#{}会把传递进来的参数值替换成一个占位符,并且对占位符进行预编译处理,最终生成一个完整的SQL语句。而${}则直接把传递进来的参数值替换到SQL语句中,没有任何预编译处理。 举个例子,如果我们要传递一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

�欢快↑㎡

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值