mybatis中#和$的区别

最新推荐文章于 2021-12-18 19:04:12 发布
最新推荐文章于 2021-12-18 19:04:12 发布
阅读量303 收藏
点赞数
分类专栏: java mysql
java 同时被 2 个专栏收录
141 篇文章 1 订阅
订阅专栏
mysql
43 篇文章 0 订阅
订阅专栏

在mybatis接口mapper文件中引用传入的参数是通过#{param}或者${param}来使用的。

1.数据类型匹配

会进行预编译,而且进行类型匹配

$:不进行数据类型匹配

2.实现方式

用于变量替换

$:实质上是字符串拼接

3.#和$的使用场景
(1)变量的传递,必须使用#,使用#{}就等于使用了PrepareStatement这种占位符的形式,提高效率。可以防止sql注入等等问题。#方式一般用于传入添加,修改的值或查询,删除的where条件 id值

select * from t_user where name = #{param}

(2) sql 只 是 只 是 简 单 的 字 符 串 拼 接 , 要 特 别 小 心 s q l 注 入 问 题 , 对 应 非 变 量 部 分 , 只 能 用 groupby,orderby使使 方 式 一 般 用 于 传 入 数 据 库 对 象 , 比 如 这 种 g r o u p b y 字 段 , o r d e r b y 字 段 , 表 名 , 字 段 名 等 没 法 使 用 占 位 符 的 就 需 要 使 用 {}

select count(*), from t_user group by ${param}

(3)能同时使用#和$的时候,最好用#。

sql注入问题:
SQL注入就是将原本的SQL语句的逻辑结构改变,使得SQL语句的执行结果和原本开发者的意图不一样.
比如:使用Statement语句执行者,执行sql,会造成sql注入的问题,

String sql = “select * from tb_name where name= ‘”+varname+”’ and passwd=’”+varpasswd+”’”;

如果我们把[’ or ‘1’ = ‘1]作为varpasswd传入进来,执行查询的时候 sql会变成,

String sql = “select * from tb_name where name= ” and passwd = ” or ‘1’ = ‘1’,1=1是永远成立的,所以,前面的条件已经不起作用,

我们使用预编译语句执行者就可以避免这个问题,prepareStatement将sql预编译,传参数的时候,不会改变sql语句结构,就可以避免注入。

Sky786905664
关注
专栏目录
mybatis的#和$使用和区别
学无止境
02-27 884
mybatis的#和$使用和区别
mybatis里#{}和${}的区别
SWWANDZL的博客
07-18 557
动态 sql 是 mybatis 的主要特性之一,在 mapper 定义的参数传到 xml 之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 在下面的语句,如果 username 的值为 zhangsan,则两种方式无任何区别:select * from user where name = #{nam
#{}和${}
努力赚钱就可以住更好的养老院
07-24 1万+
#{}:表示一个占位符号,通过#{}可以实现preparedStatement向占位符设置值,自动进行java类型和jdbc类型转换,#{}可以有效防止sql注入。 #{}可以接收简单类型值或pojo属性值。 如果parameterType传输单个简单类型值,#{}括号可以是value或其它名称。 “%”#{name}”%” ${}:表示拼接sql串,通过${}可以将parameterTy...
mybatis#与$的区别
a279534269的博客
12-18 200
MyBatis使用parameterType向SQL语句传参,parameterType支持的类型可以是基本类型int,String,HashMap和java自定义类型。 在SQL引用这些参数的时候,可以使用两种方式: #{parameterName} ${parameterName} 首先,我们说一下这两种引用参数时的区别,使用#{parameterName}引用参数的时候,Mybatis会把这个参数认为是一个字符串,并自动加上’’,例如传入参数是“Smith”,那么在下面SQL: Select *
Mybatis#{}与${}的区别
热门推荐
宜春
07-24 4万+
mybatis动态 sql 是其主要特性之一,在 mapper 定义的参数传到 xml 之后,在执行操作之前 mybatis 会对其进行动态解析。mybatis 提供了两种支持动态 sql 的语法:#{} 以及 $ {},其最大的区别则是#{}方式能够很大程度防止sql注入(安全),${}方式无法防止Sql注入。什么??不懂什么是Sql注入?额。。。Sql注入指的是程序解析时会将你传入的参...
Mybaits#{}与${}的区别
qq_41708308的博客
05-08 274
  在mybaits#{}和${}都可以用来传递参数,那么他们有何不同呢,下面来看看他们的是如何执行的,相信你看了之后就会明白他们的区别了。   #{}的方式:   XML文件配置的sql如下: <select id="findCommodityByKeyword" resultMap="BaseResultMap"> SELECT * FROM d_commodity <if test="keyword != null"> WHERE commodity_name LI
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
MyBatis${ }与#{ }有什么区别?
春卷同学的博客
07-19 406
1、#{}是预编译处理,MyBatis在处理#{ }时,它会将sql的#{ }替换为?,然后调用PreparedStatement的set方法来赋值; 2、${}是字符串替换,MyBatis在处理${ }时,它会将sql的${ }替换为变量的值。 注意:使用${ }会导致 sql注入,不利于系统的安全性! SQL注入:就是通过把SQL命令插入到Web表单提交或输入域...
MyBatis的#和$的区别
祥子的博客
02-08 256
#相当于数据加上双引号,$相当于直接显示数据 "#"将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如: order by #user_id# , 如果传入的值是111,那么解析成 sql 时的值为 order by "111", 如果传入的值是 id,则解析成的 sql 为 order by "id"。 "$"将传入的数据直接显示生成在 sql 。如: order by $user_id$ ,如果传入的值是 111,那么解析成 sql 时的值为order by 111, 如果传入的值是
Mybatis#和$的区别
qq_42772400的博客
05-15 148
Mybatis#和$的区别 一、介绍 #{}:占位符号,可以防止sql注入(替换结果会增加单引号‘’) ${}:sql拼接符号(替换结果不会增加单引号‘’,like和order by后使用,存在sql注入问题,需手动代码过滤) 二、具体分析 动态 SQL 是 mybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析
mybatis的#和$的区别
雨不会一直下,但是一直会下雨
11-16 141
#相当于对数据 加上 双引号,$相当于直接显示数据 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”.    2. $ 将传入的数据直接显示生成在sql。 如:order by $ user_id $ ,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值
MyBatis 框架 #{} 与 ${}的区别
dange_h的专栏
01-29 9098
今天MyBatis的用动态SQL做一个带不同条件的排序功能,一直没有注意到#{}与${}的问题,今天终于遇到了。SQL语句如下: select * from goods      order by #{orderArgs} 结果没有任何效果。最后把 #{} 改成 ${},结果正确。 此时才发现#{}与${}的不同之处。 动态 SQL 是 mybatis 的强大特性之一,也是它优于
#{} 和 ${}
Mercuriooo的博客
11-30 921
不同之处 #{} ${} 简单类型(8个基本类型和String) #{xx}xx可以随便写 ${value} 其的标识符只能是value 对象类型(都必须是属性名) #{属性名} ${属性名} sql注入 .#{}可以防止SQL注入 ${}不防止 对于String的处理 自动给String加上’ ’ ${} 原样输出 关于String: #{}会自动给Strin...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值