12、Mybatis中用#{}和${}获取输入参数的区别

最新推荐文章于 2024-05-22 01:54:13 发布
最新推荐文章于 2024-05-22 01:54:13 发布
阅读量1.9k 收藏 4
点赞数 2
分类专栏: Mybaits 文章标签: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010502101/article/details/79055198
版权

#{}${} 都可以从接口输入中的map对象或者pojo对象中获取输入的参数值。例如:

<mapper namespace="com.lzj.mybatis.dao.UserDao">
    <select id="getUser" resultType="com.lzj.mybaits.bean.User">
        select * from users where name=#{name} and password=#{password}
    </select>
</mapper>

或者

<mapper namespace="com.lzj.mybatis.dao.UserDao">
    <select id="getUser" resultType="com.lzj.mybaits.bean.User">
        select * from users where name=${name} and password=${password}
    </select>
</mapper>

上面两种形式都可以通过name和pssword条件查询用户的信息。但是上面两种形式是有本质区别的:Mybatis在处理 {name}和 passwordsql {name}的值为”lzj”,${password}的值为”123456”,即mybatis直接处理sql语句为:

select * from users where name='lzj'and password='123456'

mybatis在处理#{}形式时,会通过jdbc中的PreparedStatement先预编译sql语句为下列形式:

select * from users where name=? and password=?

然后在用PreparedStatement把对应占位符处的值代替占位符。

{}比${}的优势

name {password}取出的值直接拼装在sql语句中,会有安全问题。
例如name对应的值为:"lzj"#, 则{name}获取到的值为`"lzj"#`。此时根本不用管password的值为什么了,例如password的值为"XXXX",则{password}获取到值为”XXXX”。mybatis会拼接sql为:

select * from users where name='lzj'# and password='XXXX'

由于sql中# 表示注释的意思,所以mybatis就把上面的语句翻译成了

select * from users where name='lzj'

执行此条语句,根本不再用关系password的值是什么了,因此会有安全问题。

但是用#{}的形式就不会出现这种情况,对于#{}的形式,mybatis会先提前预编译sql语句,然后在将参数设置到sql语句中,防止sql注入。

${}比#{}的优势

大多数情况下,我们应使用#{}的形式,但在有些地方确不成立。原生jdbc不支持占位符的地方我们就可以使用${}进行取值。
比如表的名字处不可以使用占位符,下面是不可以的

select * from #{users}

表名字处不能使用占位符,此时要用下面的形式:

select * from ${users}

例如order by 排序的地方不可以用,下面的形式不可以用

select * from users order by #{name}

应该使用

select * from users order by ${name}

{}其它丰富用法

在mybatis用#{}处理获取输入的参数时,还可以指定其它属性,例如#{name, javaType=String, jdbcType=null}, 如#{amount, javaType=Double, jdbcType=NUMERIC,numericScale=3} 下面介绍常用的属性

  1. javaType :表明传入参数的类型
  2. jdbcType:表明对应数据库中的类型,一般用来处理传入的参数为空的情况。例如:
    <select id="getUser" resultType="com.lzj.mybaits.bean.User">
        select * from users where name=#{name}
    </select>

当name参数传入的值为null时,mybatis会默认传入的name值的类型为数据库other类型 ,对于oracle数据库,不能处理other类型的字段,因此会报不能识别的错误。此时就可以用jdbcType属性指定类型,如

    <select id="getUser" resultType="com.lzj.mybaits.bean.User">
        select * from users where name=#{name, jdbcType=null}
    </select>

当传入的name值的类型为null时,在oracle数据库中会把name字段的值当空来处理。

当name参数传入的值为null时,mybatis会默认传入的name值的类型为数据库other类型 对于mysql数据库,会自动把other类型当做null类型来处理,因此对于mysql数据库中可不用指定jdbcType=null属性,当然也可以指定。

另外,由于在mybatis中默认配置把传入的NULL值类型映射到数据中的other类型,也可以在mybatis的配置文件中指定全局的把传入的NULL类型的参数映射到数据库中指定的类型。例如:

    <settings>
        <setting name="jdbcTypeForNull" value="NULL"/>
    </settings>

本文中在conf.xml配置文件中,加上如上配置,当传入的参数为NULL时,mybatis默认映射到数据库中的类型就是NULL类型。

  1. numericScale:对于java中浮点类型,当传入数据库时可能有若干小数,通过指定numericScale=3,可以指定传入数据库的字段为数值类型,并且只有小数点数后三位。

关于sql注入的问题,参考http://blog.csdn.net/javy_codercoder/article/details/49276653

苍鹰蛟龙
关注
专栏目录
Mybatis中的设计模式
Mr.xing的博客
04-05 3801
Builder模式,例如SqlSessionFactoryBuilder、XMLConfigBuilder、XMLMapperBuilder、XMLStatementBuilder、CacheBuilder。工厂模式,例如SqlSessionFactory、ObjectFactory、MapperProxyFactory。单例模式,例如ErrorContext、LogFactory。
MyBatis
刘树之的博客
08-14 360
一、MyBatis MyBatis介绍 MyBatis 本是apache的一个开源项目iBatis, 2010年这个项目由apache software foundation 迁移到了google code,并且改名为MyBatis 。2013年11月迁移到Github。 IBATIS一词来源于“internet”和“abatis”的组合,是一个基于Java的持久层(Dao 数据访问层)框架。iBATIS提供的持久层框架包括SQL Maps和Data Access Objects(DAO) 下载地址: M
mybatis学习之$取参数和#取参数区别
GensingU的博客
07-08 943
使用#取参数参数在sql语句中是以预编译的形式存在的,例如 select * from person where id=?而使用$符则是直接在sql语句取出参数的值,例如select * from person where id=2因此,通常情况下,都使用#来取参数的值,但是在一些原声jdbc不支持占位符的位置,则可以使用$来获取参数的值 例如 表名、排序方式等等例:selec
MyBatis参数占位符 #{} 和 ${}
最新发布
qq_45875349的博客
05-22 1347
#{}和${}区别详解
一文解惑mybatis中的#{}和${}
一个菜鸡的博客
07-19 5894
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
记一次mybatis #取值为null,$取值有值的问题
hu582205的博客
12-17 3554
项目中使用的的mybatis的exmaple的方式来组装sql,在项目开发的过程中,发现一个问题 #取值为null,$取值有值的问题。 使用$的日志: 2018-12-17 16:58:23.661 DEBUG c.b.e.base.dao.EispOrderMapper.selectByUdfExample - ==&gt; Preparing: SELECT DISTINCT eisp...
Mybatis中#和$的区别
热门推荐
伏颜的博客
07-11 1万+
Mybatis中#和$的区别
mybatis中foreach的用法及#{}和${}的区别
kbh528202的博客
07-03 5068
foreach用法 &amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;SQL语法中有时会使用IN关键字,例如id in (1,2,3).可以使用${id}方式取值,但这种写法不能给你防止SQL注入,想避免SQL注入就需要用#{}的方式,这时就要配合使用foreach标签来满足需求。 &amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;foreach包含以下属性: - collec
MyBatis传入的参数
qq_22162093的博客
01-12 867
在讲mybatis入参问题时,先把架构讲下 系统架构 关键组件 SqlSession:selectOne、selectList、selectMap、select、insert、update、delete、commit、rollback、flushStatements、close、clearCache、getConfiguration、getMapper、getConnection Executor:update, query, flushStatements, commit, rollback, getT
MyBatis分页查询与特殊字符处理
liaozhixiangjava的博客
08-24 1416
MyBatis是一种基于Java的持久层框架,它实现了对数据库的操作,并使用Java对象映射关系表中的记录,即将关系数据库中的数据映射到Java对象中,提供了一种优雅的方式来访问关系数据库。MyBatis最重要的特点是它的SQL映射,使得开发人员可以使用XML或注解的方式将SQL语句与Java代码进行解耦,从而提高了代码的可维护性和可读性,并降低了整个应用程序的复杂度。MyBatis还支持动态SQL,这意味着你可以在不同的场景下根据不同的条件来生成SQL查询语句。
MyBatis 中 #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1321
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS中 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
Mybatis中的#号与$符号的区别
小泽
04-05 1万+
1、#{变量名}可以进行预编译、类型匹配等操作, 2、#{变量名}会转化为jdbc的类型。 3、${变量名}不进行数据类型匹配,直接替换。 4、#方式能够很大程度防止sql注入。 5、$方式无法方式sql注入。 6、$方式一般用于传入数据库对象,例如传入表名。 7、尽量多用#方式,少用$方式。 8、#会自动加双引号,$不会加双引号 这两个符号在mybatis中最直接的区别就是:#相当于对数据 加上 单引号,$相当于直接显示数据(只讨论字符串类型的)。 1、#对传入的参数视为字符串,也就..
mybatis传参时使用#传参查询不出数据,改成$传参就可以查询出数据了
你一看就不是好人
10-30 3761
在使用mybatis传参时使用#传参查询不出数据,改成$传参就可以查询出数据了,一直排查不出来原因,因为$传参不安全会导致sql注入,所以还是仔细查找该问题的原因。 log4j打印的sql和参数都没问题 sql复制到oracle也可以执行 但通过mybatis就查询不到结果 后来在网上终于找到了答案 https://blog.csdn.net/gnail_oug/article/details/7...
mybatis 关于#{}和${}取值的问题
遇见一个人流泪的博客
11-30 5558
之前在mybatis中取值一直用的#{},有次看同事的代码中用了${},但并未深究。 前几天有个需求要根据前端传过来的字段进行排序,代码没问题但就是一直没办法排序,到数据库一执行也能出结果,最后发现是取值的问题。 用#{}取值时会默认加上”,如下:order by 'name' desc用${}取值时如下:order by name desc很明显,后者才是正确的。
mybatis中#和$在使用上有哪些区别
hefk688的博客
09-08 4210
mybatis中#和$的区别是什么 1、传入的参数在SQL中显示不同 #传入的参数在SQL中显示为字符串(当成一个字符串),会对自动传入的数据加一个双引号。 例:使用以下SQL select id,name,age from student where id =#{id} 当我们传递的参数id为 "1" 时,上述 sql 的解析为: select id,name,age from student where id ="1" $传入的参数在SqL中直接显示为传入的值 例:使用以下SQL select id,n
MyBatis中#{}与${}的区别 sql注入
ratel的博客
08-02 954
MyBatis中#{}与${}的区别 sql注入
MyBatis中#{}与${}的区别
夏夏
06-23 1276
1、#{}是预编译处理,${}是字符串替换 2.MyBatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值 而在处理${}时,是把${}替换为变量的值。 3.使用#{}可以有效地防止SQL注入,提高系统安全性;因为一个#{}被解析为一个参数占位符,而${}仅仅为一个纯粹的String替换。 使用注意: 但是在mybatis排序使用order by 动态传参时,使用${}而不用#{}. ...
mybatis 参数处理,单个参数,多个参数
hamov的专栏
09-04 6439
1、单个参数 mybatis不做特殊处理。#{参数名}即可取出值,参数名随意取 2、多个参数 mybatis会将其封装成map, key:param1,param2,。。。paramN,或参数的索引 value:传入的参数值 #{}就是从map中获取制定的key值。 例如: 接口为:public Employee getEmpByIdAndLastName(Integer id,
mybatis中#{}与${}的差别(如何防止sql注入)
E=mc²
04-24 1万+
默认情况下,使用#{}语法,MyBatis会产生PreparedStatement语句中,并且安全的设置PreparedStatement参数,这个过程中MyBatis会进行必要的安全检查和转义。 #相当于对数据 加上 双引号,$相当于直接显示数据 示例1: 执行SQL:select * from emp where name = #{employeeName} 参数:employeeNa
mybatis中#和$的区别
06-07
MyBatis中,#和$都是用于替换SQL语句中的占位符的符号,但它们的处理方式不同。 #号表示占位符,通过预编译的方式将传入的参数值进行安全的替换,防止SQL注入攻击,同时将参数值转换为对应的JDBC类型。例如: ``...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值