Java MyBatis 中 #{}和 ${}的区别是什么?

于 2023-12-17 09:00:00 发布
阅读量392 收藏 7
点赞数 8
文章标签: java mybatis tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sanmansan/article/details/134918006
版权

Java MyBatis 中 #{}和 ${}的区别是什么?

在 MyBatis 中,#{} ${} 是两种不同的参数注入方式,主要区别在于参数的预处理和安全性。

#{} :预处理参数

  • #{} 用于预处理参数,会将参数值以预编译的形式传递给 SQL 引擎,防止 SQL 注入攻击。
<!-- 示例:使用#{}预处理参数 -->
<select id="getUserById" resultType="User">
    SELECT * FROM user WHERE id = #{userId}
</select>

在上面的例子中,#{userId} 会被 MyBatis 替换成 ?,然后在执行 SQL 语句时,将真正的参数值传递给 ? 进行预编译,这有助于防止 SQL 注入。

${}:直接拼接参数

  • ${} 用于直接拼接参数,将参数值直接替换到 SQL 语句中,不进行预处理。这样做可能会存在 SQL 注入的风险,因此要慎用。
<!-- 示例:使用${}直接拼接参数 -->
<select id="getUserByName" resultType="User">
    SELECT * FROM user WHERE name = '${userName}'
</select>

在上面的例子中,${userName} 会直接替换成实际的参数值,如果参数值包含恶意的 SQL 语句,可能导致 SQL 注入攻击。

区别总结:

  • #{} 用于预处理参数,安全性更高,可以防止 SQL 注入。
  • ${} 用于直接拼接参数,慎用,可能存在 SQL 注入的风险。

示例代码:

public interface UserMapper {
    // 使用#{}预处理参数
    @Select("SELECT * FROM user WHERE id = #{userId}")
    User getUserById(@Param("userId") int userId);

    // 使用${}直接拼接参数
    @Select("SELECT * FROM user WHERE name = '${userName}'")
    User getUserByName(@Param("userName") String userName);
}

上述示例代码展示了在 MyBatis 中使用 #{} ${} 的方式。通常建议使用 #{} 以提高安全性,防止 SQL 注入攻击。

学习资源网
关注
mybatis的#和$使用和区别
学无止境
02-27 884
mybatis的#和$使用和区别
Mybatis#{}和${}的用法
li_w_ch的博客
11-17 1万+
1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。 比如, select * from student where student_name = #{studentName} 如果传入的值为xiaoming,那么解析成sql的值为student_name="xioming"。 2、${}将传入的数据直接显示生成在sql。 如 : select ${fieldNmae} from student where student_age = 18 此时,传入的参数作为要查询的字
JavaMybatis的#{}和${}
2024 做自己的太阳
09-21 1145
背景: 曾经一个朋友跟我说面试的时候问:Mybatis的#{}和${}的区别? 备忘: #{} #{}表示一个占位符号,通过#{}可以实现preparedStatement向占位符设置值,自动进行java类型和jdbc类型转换。#{}可以有效防止sql注入。 #{}可以接收简单类型值或pojo属性值。 如果parameterType传输单个简单类型值,#{}括号可以是value或其它名...
带参sql$和#的区别注解
weixin_34111790的博客
01-21 186
主要区别就是#带双引号,$不带 例如:#{id}代表'id',${id}代表id 下面是Mybatis @Select注解方式的sql @Select("select id,name from user where id=#{id}") public User getUser(@Param("id")long id);@Select("select id,name from us...
Spring@Value注解详解
Rocky balboa
11-13 4609
一种就是使用Spring@Value注解,还有一种是使用SpringBoot的@ConfigurationProperties注解,本篇文章主要是介绍常用的第一种方式。第二种@Value(“#{}”)是用来表示 SpEl 表达式通常用来获取 bean 的属性,或者调用 bean 的某个方法。@Value 注解有两种方式,@Value(“${}”)和@Value(“#{}”)两种方式。第一种 @Value(“${}”)是用来获取配置文件。
java】在Springboot Mybatis使用@Select @Insert注解自定义sql语句
FengBuPi的博客
01-29 2766
在Springboot Mybatis使用@Select @Insert注解自定义sql语句
JAVA 注解示例 详解
novelly的专栏
01-16 587
注解(Annotation) 为我们在代码天界信息提供了一种形式化的方法,是我们可以在稍后 某个时刻方便地使用这些数据(通过 解析注解 来使用这些数据)。       注解的语法比较简单,除了@符号的使用以外,它基本上与java的固有语法一致,java内置了三种 注解,定义在java.lang包。       @Override  表示当前方法是覆盖父类的方法。
java 注解使用${}_SpEL 在注解的使用
weixin_34406844的博客
03-07 3183
前言SpEL(Spring Expression Language),即Spring表达式语言,是比JSP的EL更强大的一种表达式语言。为什么要总结SpEL,因为它可以在运行时查询和操作数据,尤其是数组列表型数据,因此可以缩减代码量,优化代码结构。个人认为很有用。1 语法说明1.1 SpEL 字面量:整数:#{8}小数:#{8.8}科学计数法:#{1e4}String:可以使用单引号或者双引号作为...
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
Java Mybatis的 ${ } 和 #{ }的区别使用详解
08-18
Java Mybatis的 ${ } 和 #{ } 的区别使用详解 Java Mybatis 的 ${ } 和 #{ } 是两个不同的占位符,都是用于在 Mybatis 进行动态 SQL 语句的构建和参数传递。然而,这两个占位符在使用时有着极其重要的区别。 ...
Mybatis的${}和#{}区别
m0_67402588的博客
09-09 1264
动态 sql 是 mybatis 的主要特性之一,在 mapper 定义的参数传到 xml 之后,在查询之前, mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{}以及${}提示:以下是本篇文章正文内容,下面案例可供参考深知大多数初Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料。
用 @Value(“${xxxx}“)注解从配置文件读取值的用法
愿我如星君如月 ... 夜夜流光相皎洁 ...
02-21 2万+
用 @Value("${xxxx}")注解从配置文件读取值的用法
Feign性能优化注意事项
weixin_33704591的博客
09-20 1322
一、FeignClient注解   FeignClient注解被@Target(ElementType.TYPE)修饰,表示FeignClient注解的作用目标在接口上 @FeignClient(name = "github-client", url = "https://api.github.com", configuration = GitHubExampleConfig.class) pu...
Mybatis的#和$的区别
热门推荐
qq_27811247的博客
06-22 4万+
在学校的时候,想必大家肯定听老师讲过,在mybatis,配置参数要用#,不要用$符号。因为$不安全,容易被sql注入。讲是这么讲,但是如何注入的,大家一起来看看吧。 一:下面我们写个关于“#”的个sql,看能不能注入。 <select id="selectUser" resultMap="BaseResultMap"> SELECT ...
mybatis#和$的区别是什么?
Java技术备忘录
10-29 1337
mybatis#和KaTeX parse error: Expected 'EOF', got '#' at position 8: 的主要区别是:#̲传入的参数在SQL显示为字符…传入的参数在SqL直接显示为传入的值,$方式无法防止Sql注入。 MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映射原生信息,将接口和 Java 的 P
mybatis#和$在使用上有哪些区别
hefk688的博客
09-08 4189
mybatis#和$的区别是什么 1、传入的参数在SQL显示不同 #传入的参数在SQL显示为字符串(当成一个字符串),会对自动传入的数据加一个双引号。 例:使用以下SQL select id,name,age from student where id =#{id} 当我们传递的参数id为 "1" 时,上述 sql 的解析为: select id,name,age from student where id ="1" $传入的参数在SqL直接显示为传入的值 例:使用以下SQL select id,n
@Value注解${}和#{}的运用
weixin_39145487的博客
07-15 9629
@Value(“#{}”) 表示SpEl表达式通常用来获取bean的属性,或者调用bean的某个方法。当然还有可以表示常量 用 @Value(“${xxxx}”)注解从配置文件读取值的用法 一、 @Value(“#{}”) 1 @Value(“#{}”) SpEL表达式(https://blog.csdn.net/ya_1249463314/article/details/68484422) @Value(“#{}”) 表示SpEl表达式通常用来获取bean的属性,或者调用bean的某个方法。当然还有可以表
myBatis——注解,#{}与${},resultMap的使用
luerdao_的博客
12-07 666
注解开发 注解开发不需要使用mapper.xml文件进行映射 直接绑定类 <mappers> <mapper class="com.luerdao.dao.UserMapper"></mapper> </mappers> @Select("select * from user") List<User> getAllUser(); @Select("select * from user where id =#{id}") User sele
@Value("${xxxx}")注解的配置及使用
niceyoo的博客
04-07 1163
代码的用法 Spring 通过@Value注解获取*.porperties文件code的内容,然后赋值给使用该注解的Code属性上。 @Value("${code}") private String Code; 看一下这个resource.properties文件(resource为文件名称) code=002 spring的配置 <conte...
mybatis#和$的区别
最新发布
05-04
MyMybatisMybatisMybatis是一Mybatis是一种Mybatis是一种流Mybatis是一种流行Mybatis是一种流行的Mybatis是一种流行的JavaMybatis是一种流行的JavaMybatis是一种流行的Java持久Mybatis是一种流行的Java持久化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

学习资源网

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值