mybatis中的#和$的区别

最新推荐文章于 2022-08-02 00:33:43 发布
最新推荐文章于 2022-08-02 00:33:43 发布
阅读量352 收藏
点赞数
分类专栏: sql 文章标签: sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013595570/article/details/78181975
版权

1.#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:where id=#{id}
如果id传入的值是111,那么解析成SQL的值为where id=”111”;如果传入的值是id,则解析成的sql为where id = “id”。
2. SQLwhereid= {userid},如果传入的值是111,那么解析成SQL时的值为where id=userid,如果传入的值是id,则解析成的SQL为where id=id。
3.#方式能够很大程度防止SQL注入。
4.$方式无法防止SQL注入。

5.$方式一般用于数据库对象,例如传入表名。
如果tableName为user_role,则

select * from ${tableName} where user_code = #{userCode}

是正确的。
6.一般能用#的就别用$.

7.myBatis排序时使用order by 动态参数时需要注意,用$而不是#

举个例子大家就会明白的。写一句SQL-例如:

select * from user_role where user_code = "100";

这句话而言,需要写成

select * from ${tableName} where user_code = #{userCode}

所以,$符是直接拼成sql的 ,#符则会以字符串的形式 与sql进行拼接。

ID_bao
关注
专栏目录
mybatis的#和$使用和区别
学无止境
02-27 880
mybatis的#和$使用和区别
mybatis#{}和${}的区别
qq_37776015的博客
05-07 5229
本章节主要讲解mybatis#{}和${}的区别 首先我们先通过代码事例查看下二者的区别: 在EmployeeMapper接口有这么一个方法: Employee getEmpByIdAndLastName(@Param("id")Integer id, @Param("lastName") String lastName); 在对应的EmployeeMapper.xml 映射文...
Mybatis防止SQL注入---mybatis的#与$的区别------#{id}与${id}
money-k的博客
05-09 527
Mybatis的#和$的区别: 1、# 通过日志查看: 因为MyBatis启用了预编译功能,在SQL执行前,会先将上面的SQL发送给数据库进行编译;执行时,直接使用编译好的SQL,替换占位符“?”就可以了。因为SQL注入只能对编译过程起作用,所以这样的方式就很好地避免了SQL注入的问题。 2、$ 通过日志查看: 在MyBatis,“${id}”这样格式的参数会直接参与SQL编译,从而不能避免注入攻击。但涉及到动态表名和列名时,只能使用“${id}”这样的参数格式。所以,这样的参数需要我们在代码手工
Mybatis#{}和${}的区别
洋成林
05-12 4085
1、生成执行sql以及sql安全方面: (1)使用#{}格式的语法,在mybatis会使用Preparement语句来安全地设置值,跟踪断点会看到即将执行的sql用“?”做占位符,执行sql类似于   PreparedStatement ps = conn.prepareStatement(sql); ps.setInt(1,id);   同时,#{}写法会将传入的数据都当成一个字...
#{}和${}的区别是什么?
weixin_44329885的博客
06-17 219
动态 sqlMyBatis 的主要特性之一,在 mapper 定义的参数传到 xml 之后,在查询之前 MyBatis 会对其进行动态解析。MyBatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 面试题:#{}和${}的区别是什么? 1)#{}是预编译处理,$ {}是字符串替换。 2)MyBatis在处理#{}时,会将SQL的#{}替换为?号,使用PreparedStatement的set方法来赋值;MyBatis在处理 $ { } 时,就是把 ${ } 替换成变量的值
#{}和${}的区别
weixi_app的博客
05-28 3643
一相同点 都可以获取map或者JavaBean的信息 二不同点 # 1.#是预编译处理(是什么) 2.mybatis在处理#的时候,会将sql的#{}替换为?号,调用预编译语句(PreparedStatement)的set注入参数(这也是为什么变成问号的原因) 3.会在sql加上' '单引号,所以会相对安全,不会有sql注入问题 4.支持基本数据类型(八大数据类型,包装类,BigDecimal等等) $ 1.$是字符串替换(是什么) 2.mybatis在处理$的时候,会将$的变量,原原本本的赋值到s
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
打卡面试题-MyBatis
qq_41934990的博客
07-26 255
mybatis 什么是mybatis mybatis是一个半orm框架,内部封装了JDBC,开发时只需要关乎SQL语句本身,不需要花精力去处理驱动,创建连接,创建preparedstatement等繁复过程。 mybatis使用xml或注解来配置和映射原生信息,将pojo映射成数据库的记录,避免了几乎所有的JDBC代码和手动设置参数以及获取结果集。 通过xml文件或注解的方式将要执行的各种statement配置起来,通过java对象和statementsql的动态参数进行映射生成最终的SQL语句,最
data-idid区别 data-id 的样式写法
热门推荐
qq_41648132的博客
05-18 4万+
id是选择器data-id只是行内存放数据的一个标签,跟input里面的value作用是一样的同时在HTML5 增加了一项新功能是 自定义数据属性 ,也就是 data-* 自定义属性。在HTML5我们可以使用以 data- 为前缀来设置我们需要的自定义属性,来进行一些数据的存放。例如:<style type="text/css"> div[data-id="something"]...
字符串${id}/#{functionId}的正则替换
cbb
11-19 449
package com.fl.test; import java.util.HashMap; import java.util.Map; import java.util.regex.Matcher; import java.util.regex.Pattern; import static java.util.regex.Pattern.compile; /** * @author: fenglei.fl * @date: Created in 2020/11/18 14:23 * @desc
JavaScript 正则表达式
weixin_30724853的博客
08-18 1282
一、简介 1、什么是正则表达式 正则表达式本身就是一种语言,这在其它语言是通用的。 正则表达式(regular expression)描述了一种字符串匹配的模式,可以用来检查一个串是否含有某种子串、将匹配的子串做替换或者从某个串取出符合某个条件的子串等。 str.indexOf(‘abc’); //精确匹配 只能匹配字符串“abc” 正则表达式 ...
关于 MyBatis 我总结了 10 种通用的写法
Java笔记虾
10-03 293
点击上方“后端技术精选”,选择“置顶公众号”技术文章第一时间送达!作者:smile_lgblog.csdn.net/smile_lg/article/details/71...
Mybatis的${}和#{}区别
web18484626332的博客
08-02 8842
动态sqlmybatis的主要特性之一,在mapper定义的参数传到xml之后,在查询之前,mybatis会对其进行动态解析。mybatis为我们提供了两种支持动态sql的语法#{}以及${}提示以下是本篇文章正文内容,下面案例可供参考。...
mybatis映射文件三种设置id的方式
yuer629
06-04 5724
<!-- 1.自己指定主键 --> <insert id="insertUser" parameterType="com.yuer.bean.Users"> insert into users values(#{userId},#{userName},#{userPwd},#{userAge},#{userSex},#{addr}) </insert> <...
MyBatis在插入数据后,对象立刻获取Id的方法
Yuncoco的博客
07-26 7831
在做crm项目,角色添加权限功能,插入角色数据时,需要获取角色id添加到角色权限间表,但获取的角色id是空,经查询,解决办法如下 获取自增主键,拥有自增主键的数据库:MySQL 在insert标签,加入keyProperty和useGeneratedKeys两个属性: !-- 增加 --> <!--useGeneratedKeys设置为true,keyProperty设置为出...
mybatis#和$的区别
最新发布
06-07
MyBatis,#和$都是用于替换SQL语句的占位符的符号,但它们的处理方式不同。 #号表示占位符,通过预编译的方式将传入的参数值进行安全的替换,防止SQL注入攻击,同时将参数值转换为对应的JDBC类型。例如: ``` SELECT * FROM user WHERE id = #{userId} ``` 在执行SQL时,#{userId}会被替换为一个?号占位符,同时userId参数的值会被预编译并设置为PreparedStatement的参数值。 $号则表示直接替换,将SQL语句的占位符替换为传入的参数值,并不进行预编译和JDBC类型转换。例如: ``` SELECT * FROM user WHERE id = ${userId} ``` 在执行SQL时,${userId}会被替换为实际的参数值,不会进行预编译和JDBC类型转换,如果参数值存在SQL注入攻击的风险,就会导致SQL注入攻击。 因此,一般情况下我们建议使用#号进行参数替换,以保证SQL语句的安全性。但如果需要动态拼接SQL语句,或者需要使用一些特殊的SQL语法,可以使用$号进行参数替换。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值