Mybatis中占位符详解

最新推荐文章于 2024-07-31 09:57:44 发布
最新推荐文章于 2024-07-31 09:57:44 发布
阅读量2.5k 收藏 3
点赞数 1
分类专栏: mybatis 文章标签: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tpf1070527713/article/details/105528382
版权

在mybatis中有两种占位符,一种是#{},另一种是${},那么这两种占位符有什么区别呢?

 #{}解析传递进来的参数数据
 ${}对传递进来的参数原样拼接在SQL中
 #{}的SQL是这样的: ==>  Preparing: select T_Id, T_direction, T_courses, T_contents, T_teacher, T_class_type, T_remark, T_enable, Creator, Create_time, Updater, Update_time, Deleter, Delete_time from training_course_info where T_Id = ? 
                  ==> Parameters: 001(String)、
 ${}的SQL是这样的: ==>  Preparing: select T_Id, T_direction, T_courses, T_contents, T_teacher, T_class_type, T_remark, T_enable, Creator, Create_time, Updater, Update_time, Deleter, Delete_time from training_course_info where T_Id = '001'

这里需要注意的是,使用${}是原样拼接,如果传参是字符串时需要 ‘${}’,左右两边需要单引号
一般我们不推荐使用${},因为可能会被恶义SQL语法注入实例

实例一

Stringsql=“select * from tb_name where name=’”+varname+"‘andpasswd=’"+varpasswd+"’";

如果我们把[‘or’1’='1]作为varpasswd传入进来.用户名随意,看看会成为什么?

select * fromtb_name = 随意’ and passwd = ‘‘or’ 1’=‘1’;

因为’1’='1’肯定成立,所以可以任何通过验证

实例二

select * from ${tableName} where name = #{name}

在这个例子中,如果表名为

user; delete user; –

则动态解析之后 sql 如下:

select * from user; delete user; – where name = ?;

–之后的语句被注释掉,而原本查询用户的语句变成了查询所有用户信息+删除用户表的语句,会对数据库造成重大损伤,极大可能导致服务器宕机。

该隐的左手WD
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
mybatis占位符的讲解
毕业势必进大厂的博客
11-05 5715
mybatis占位符有两个,一个是#,一个是$,这两个有什么区别,我们分别来讲解一下 1. 占位符#{} 语法:#{字符} #占位符告诉mybatis使用实际的参数值代替。并,#{…}代替sql语句的"?"。这样做更安全,更迅速,通常也是首选做法 mapper文件 <select id="selectStudentById" parameterType="int" resultType="com.lu.entity.Student"> select id, name, email, a
mybatis动态sql语句详解
04-28
1. **#{}**用于参数占位符MyBatis会自动处理参数的预编译和设置。 2. **OGNL表达式**:在`<if>`标签使用的`test`属性是一个OGNL表达式,用于评估条件。 3. **代码清晰度**:虽然动态SQL可以提高灵活性和复用性,...
Mybatis 占位符
u010389826的博客
07-24 849
1)#{ } :执行sql时,会将#{ }占位符替换为?,将来自动设置为参数值。· 如果要对表名、列名进行动态设置,只能使用${ } 进行sql拼接。· 使用CDATA字符,IDEA直接输入大写的"CD"会自动提示补全。用于列名和POJO字段名称映射,包括id 和 result两个类型。2)${ } : 拼sql, 会存在sql注入问题。用于设置参数类型,该参数可以省略。·参数传递:都使用#{ }· 转义字符 < >等。
mybatis-plus: #{}和${}的区别
最新发布
玉汝于成
07-31 475
MyBatis以及MyBatis-Plus,#{}和${}都是用于在SQL语句嵌入参数的占位符,但它们在使用方式和安全性上存在明显的区别。尽可能使用#{}来避免SQL注入的风险。在需要动态构建表名、列名等SQL元素时,才考虑使用${},但要确保传入的参数是安全的。始终牢记,安全是软件开发最重要的考虑因素之一,特别是在处理用户输入和数据库交互时。
mybatis (二)占位符
weixin_44032502的博客
02-04 1051
占位符简介一、#{}二、${} 简介 mybatis占位符两种:#{}、${}。 共同点: 都可以获取参数列表的参数 不同点: #{}采取预编译的形式将参数设置到sql语句,可以防止sql注入 ${}直接将取出的值拼装在了sql,会出现安全问题 一、#{} 应用场景: 普通的条件参数占位 可应用在条件参数上 @select("select * from tb_test where id=#{id}") public Test findById(int id); 二、${} 应用场景: 可
Mybatis占位符
qq_44182543的博客
03-02 389
#:占位符,告诉Mybatis使用实际的参数值代替。并使用PrepareStatement对象执行sql,#{}代替sql语句的“?”。这样做更安全,通常也是首选做法。执行效率高,可以防止slq注入 <select id="selectById" resutltType="com.milkandtea.entitu.Student"> select * from student where id = #{id} </select> 转为Mybatis执行的是一下这样的代码 S.
Mybatis占位符
林中鸟的博客
08-27 2512
mybatis#{} #{}占位符是为了获取值,获取的值作用在where语句后insert语句后,update语句后, #{}获取值,是根据值得名称取值 a) 参数是基本数据类型,那么在映射的语句可以不写paramterType,#{}的参数名也可以随意写 b) 参数是自定义类型,那么必须填paramterType,#{}的名称是自定义类型的属性名,该属性有对应的get方法。如果没有get方法,那么会根据反射去获取该类型的值,如果找不到,那么ReflectionException异常 c) 参数可以
Mybatis映射文件实例详解
08-31
传递POJO对象时,#{username}、#{birthday}等占位符引用了对象的属性。例如,插入用户时,#{username}、#{birthday}、#{sex}和#{address}分别对应`User`对象的属性。 5. **复杂查询条件**: 当查询条件变得复杂时...
Mybatis Oracle 的拼接模糊查询及用法详解
08-27
Mybatis ,拼接模糊查询的正确写法是使用 `<if>` 标签和参数占位符 `${}`。例如: ```xml SELECT A.USER_ID, A.USER_NAME FROM T_BASE_USER_INFO A != null"> AND A.USER_NAME LIKE '%' || #{userName} ||...
Java Mybatis的 ${ } 和 #{ }的区别使用详解
08-18
Java Mybatis 的 ${ } 和 #{ } 是两个不同的占位符,都是用于在 Mybatis 进行动态 SQL 语句的构建和参数传递。然而,这两个占位符在使用时有着极其重要的区别。 首先,让我们来看一个简单的示例代码。假设我们...
mybatis基本实例详解
08-31
同时,`age`字段使用了`between`操作符进行范围查询,这里的`#{minAge}`和`#{maxAge}`是参数占位符MyBatis会在运行时替换为实际的值。 MyBatis的这种自由模糊查询方式极大地提高了SQL语句的灵活性,可以根据传入...
Java MyBatis 占位符
Claroja
05-24 287
不同点: #{}:相当于预处理占位符?。可以防止SQL注入。 ${}:相当于拼接SQL串,对传入的值不做任何解释的原样输出。会引起SQL注入。 相同点: 可以接受HashMap、POJO类型的参数。 当接受简单类型的参数时,#{}里面可以是value,也可以是其他。 ...
MyBatis——谈谈占位符(#、$)的理解与使用
热门推荐
★★光亭★★
03-02 3万+
MyBatis——谈谈占位符(#、$)的理解与使用
mybatis占位符#{} 和 ${}
weixin_33708432的博客
11-13 190
#{}占位符用来设置参数,参数的类型可以有3种,基本类型,自定义类型,map基本类型作为参数,参数与占位符的名称无关。 &lt;select id="findById" parameterType="int" resultType="cn.wh.vo.Role"&gt; select * from t_role where id = #{xxxid} &lt;/sel...
浅谈mybatis占位符
xu2414506319的博客
06-25 467
浅谈mybatis占位符 #{}占位符 ​ 把传入的数据都当成字符串,会对传入的数据自动加上引号 例如: select * from emp where name=#{name} --会被解析转义成 select * from emp where name="name" ${}占位符 ​ 不会经过转义,直接把值传入sql 例如: select * from emp where name=${name} --不会被转义 select * from emp where name=name 但是需要注
Mybatis的#{}和${}两种占位符区别
Vodkazzz的博客
01-01 552
Mybatis的#{}和${}两种占位符区别 mybatis处理#{} ,使用jdbc对象是 PrepareStatment对象 特点: 使用的PrepareStatement对象,执行sql语句,效率高。 使用的PrepareStatement对象,能避免sql语句, sql语句执行更安全。 #{} 常常作为 列值使用的, 位于等号的右侧, #{}位置的值和数据类型有关的。 ${}占位符 使用Statement对象,执行sql语句,效率低 占位符的值,使用的字符串连接方式(字符串连接,把sql语句
Mybatis的参数占位符
weixin_44082260的博客
05-30 1632
mybatis支持参数占位符 不过和JDBC的不同,JDBC是?,而mybatis对于字符参数和非 字符参数提供了两种不同的参数占位符,非字符使用#{},而字符类型的参数则要使用${} 当使用模糊查询的时候,如果我们要使用参数占位符,那么必须要使用${}的形式, 因为模糊查询的时候,我们的参数是字符类型的 而#{}参数占位符只能连接非字符形式的参数,而如果我们要使用字符串的参数占 位符的时候,我们...
MyBatis#和$区别
yaopan1989的专栏
07-15 313
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为
MyBatis占位符 #{ } 和 ${ }
weixin_34234823的博客
08-01 1511
2019独角兽企业重金招聘Python工程师标准>>> ...
MyBatis删除数据操作详解
这里,`stu_tbl`是表名,`id=#{id}`是一个参数占位符,`#{id}`是MyBatis的参数绑定语法,表示将传入的方法参数值替换到SQL语句。在Java代码,我们可以看到对应的执行过程。 首先,通过`Resources....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

该隐的左手WD

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值