MyBatis中的#符号与$符号的使用

最新推荐文章于 2024-05-26 16:37:28 发布
最新推荐文章于 2024-05-26 16:37:28 发布
阅读量4k 收藏 2
点赞数
分类专栏: MyBatis 文章标签: mybatis
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/seagal890/article/details/54017008
版权

根据MyBatis官方文档的解释:

默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并安全地设置值(比如?)。这样做更安全,更迅速,通常也是首选做法,不过有时你只是想直接在 SQL 语句中插入一个不改变的字符串。比如,像 ORDER BY,你可以这样来使用: 

ORDER BY ${columnName}

这里 MyBatis 不会修改或转义字符串。

以这种方式接受从用户输出的内容并提供给语句中不变的字符串是不安全的,会导致潜在的 SQL 注入攻击,因此要么不允许用户输入这些字段,要么自行转义并检验。

我们可以这样理解:

使用#{参数}格式的语法在myBatis中是使用预处理语句Preparement语句来进行设置值的,类似于:

PreparedStatement ps = conn. prepareStatement(sql);
ps.setInt(1,id);
Ps.setString(2,userName);

这样做的好处是:更安全,更迅速,通常也是首选做法。

如果想直接在SQL语句中插入一个不改变的字符串。例如:像Order By,可以采用这样的方式:

Order By ${columnName}

这种方式,MyBatis不会修改或者转义字符串。

相当于:

Statement stmt=conn.createStatement();
ResultSet rs=stmt.executeQuery(sql);

相比而言:

  • #{},更加安全,能够防范SQL注入;
  • ${},无法防范SQL注入,一般用于传入不需要转义的参数。
  • MyBatis排序时使用Order By动态参数时需要注意,使用$而不是#。
梅森上校
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MyBatis ${}和 #{}的正确使用方法(千万不要乱用)
08-18
主要介绍了MyBatis ${}和 #{}的正确使用方法,本文给大家提到了MyBatis ${}和 #{}的区别,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
mybatis 符号
winnieFighting
11-16 417
符号 < <= > >= & ' " 替换符号 &lt; &lt;= &gt; &gt;= &amp; &apos; &quot;
MyBatis详细教程!!(入门版)
最新发布
ii804070359的博客
05-26 1048
MyBatis是一款持久层框架,用于简化JDBC开发持久层:持久化操作的层,通常指数据访问层(DAO),是用来操作数据库的。
mybatis的特殊符号:&amp;&lt;&gt;&quot;&apos;
weixin_43580824的博客
06-30 799
我在看别人的代码的时候,sql语句里面看见了几个特殊字符,不知其意,刚刚学会了拿出来分享一下。
mybatis的特殊符号
m0_67402235的博客
04-06 1088
mybatis的xml文件,存在一些特殊的符号,比如:<、>、"、&、<>等,正常书写mybatis会报错,需要对这些符号进行转义。具体转义如下所示: 特殊字符 转义字符 < < > > <= <= >= >= <> <> " " ’ ' 除了可以使用上述转义字符外,还可以使用<![CDATA[]]>来包裹特殊字符。如下所示: a <![CDATA[<= ]]>b e
Mybatis】特殊符号与转义字符
慕白Lee的博客
08-21 3638
MyBatis的XML映射文件,由于XML本身的语法限制,需要对某些特殊字符进行转义。这是因为像大于号()和小于号()这样的字符在XML有特殊的意义,分别用于标记元素的结束和开始。如果直接使用这些字符,可能会导致XML解析错误。
MyBatis#号与美元符号的区别
08-31
MyBatis框架,#号和美元符号($)在动态SQL使用有着显著的区别,这些差异直接影响到SQL语句的预编译、类型匹配以及安全性。 首先,#{}是MyBatis的预编译占位符。当使用#{变量名}时,MyBatis会进行预编译处理...
浅谈mybatis的#和$的区别
09-02
理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据视为字符串,它会将其包裹在双引号内。例如,`order by #user_id#`,如果传入的值是`111`,那么最终生成的...
Mybatis#{}与${}的区别详解
08-25
Mybatis 的 #{} 与 ${} 是两个不同的占位符号,用于实现动态 SQL,两者的主要区别在于防止 SQL 注入的能力。#{} 能够很大程度防止 SQL 注入,而 ${} 方式无法防止 SQL 注入。 #{} 是一个占位符号,相当于 JDBC ...
Mabitis的#与$符号区别及用法介绍
08-31
MyBatis,`#`和`$`符号在SQL动态语句扮演着不同角色,它们的主要区别和用法如下: 一、`#`与`$`的区别 1. `#{}`:MyBatis将`#{}`视为PreparedStatement的参数标记符。当SQL语句的`#{}`被解析时,它会被...
浅谈mybatis的#和$的区别 以及防止sql注入的方法
09-01
MyBatis,`#`和`$`在动态SQL使用有着明显的区别,它们在处理传入数据的方式上有所不同,同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
mybatis xml特殊字符处理及特殊符号
08-27
主要介绍了mybatis xml特殊字符处理及mybatis特殊符号处理技巧,mybatis特殊符号处理给大家介绍了两种写法,感兴趣的朋友一起看看吧
mybatis的一些特殊符号标识
tanqingfu1的博客
12-06 1042
1:mybatis xml有的时候需要时间 大于等于 来做判断条件 但是直接写>=是会报错的 可以写成 &gt;= 2:mybatis xml有的时候需要时间 小于等于 来做判断条件 但是直接写<=是会报错的 可以写成 &lt;= 字符 符合 符合说明 &lt; < 小于 &gt; >...
Mybatis 特殊符号(大于,小于,不等于)及常用函数总结
热门推荐
一颗浑身披带雪花的松树---[雪松]
05-29 5万+
目录 1. 使用场景 2、实现方式 2.1、转义特殊符号方式 2.2、使用 CDATA 区段 3、Mybatis if 判断等于一个字符串 4、mysql二进制转成字符串 1. 使用场景 因为我们在日常代码Mybatis 动态拼接语句时候经常使用到 大于(>,>=)、小于(<,<=)、不等于(<> ,!=)符号。由于此符号包含了尖括号,M...
mybatis.xml文件#与$符号的区别以及数学符号的处理
weixin_30367169的博客
12-26 109
1.#{}表示一个占位符号,通过#{}可以实现preparedStatement向占位符设置值,自动进行java类型和jdbc类型转换,#{}可以有效防止sql注入。 #{}可以接收简单类型值或pojo属性值。 如果parameterType传输单个简单类型值,#{}括号可以是value或其它名称。 使用#传入参数是,sql语句解析是会加上"",比如 select * from ...
mybatis ${}的特点及用法
weixin_45026810的博客
08-27 173
mybatis ${}的特点及用法 ${}是一个取值符号,并不是占位符,在使用sql的预处理语句是应该用#{}而不是${}。 ${}的特点如下: 它会把其内部变量解析为字符串值拼接到一条语句上,不会做其余的处理,例如加'' 因为是拼接字符串,因此可能会导致sql注入 ${}的用法如下: 数据库的一些元数据赋值,如库名、表名需要使用它 拼装sql时已经自带了''语句的变量赋值需要使用它,而不能用#{},后者会再加一层''导致sql错误,其比如order by和like等语句 一些字符串常量的赋值可以使
Mybatis#{}和${}的用法
li_w_ch的博客
11-17 1万+
1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。 比如, select * from student where student_name = #{studentName} 如果传入的值为xiaoming,那么解析成sql的值为student_name="xioming"。 2、${}将传入的数据直接显示生成在sql。 如 : select ${fieldNmae} from student where student_age = 18 此时,传入的参数作为要查询的字
Mybatis-占位符#{}和${}的使用说明
m0_37965811的博客
05-31 2343
1、占位符 #{}是占位符,${}是拼接符。 #{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”. ${}将传入的数据直接显示生成在sql。如:order by ${user_id},如果传入的值是111,那么解析成sql时的值为order by 111, 如果传入的值是id,则解析成的sql为orde
Mybatis:特殊字符的处理
Jcsim~
02-23 2528
方法一:使用转义字符 &amp;            &amp;amp; &lt;            &amp;lt; &gt;            &amp;gt; "             &amp;quot; (双引号) '              &amp;apos; (单引号) 例子: createTime&gt;= beginDate and createT...
MyBatis的#和$符号
05-11
MyBatis ,# 和 $ 符号都用于动态地构建 SQL 语句,但它们的用法略有不同。 # 符号用于预编译 SQL 语句的占位符,它可以防止 SQL 注入攻击。在 SQL 语句,# 符号所代表的值会被预编译成一个占位符,然后在执行 SQL 语句时,再将占位符替换成实际的值。例如: ``` SELECT * FROM user WHERE id = #{id} ``` 在执行 SQL 语句时,MyBatis 会将 #{id} 替换成实际的值,从而生成以下 SQL 语句: ``` SELECT * FROM user WHERE id = ? ``` $ 符号则不会进行预编译处理,它直接将 SQL 语句的变量替换成对应的值。例如: ``` SELECT * FROM user WHERE id = ${id} ``` 在执行 SQL 语句时,MyBatis 会将 ${id} 替换成实际的值,从而生成以下 SQL 语句: ``` SELECT * FROM user WHERE id = 1 ``` 因此,$ 符号使用要比 # 符号更加灵活,但也更容易受到 SQL 注入攻击的影响。在编写 SQL 语句时,应根据实际情况选择合适的符号来构建 SQL 语句。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值