mybatis的#{}和${}

最新推荐文章于 2023-03-17 16:56:55 发布
最新推荐文章于 2023-03-17 16:56:55 发布
阅读量119 收藏
点赞数
分类专栏: mybatis java 文章标签: mybatis sql 符号
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014259503/article/details/80366194
版权

#与$

相同点:替换传入参数

    例:

        select * from user where id = #{params};

        select * from user where id = ${params};

        传入123入参

        select * from user where id = "123";

        select * from user where id = 123;

不同点:#号接收参数固定都为字符串,$符号可以多种类型包括sql语句注入;

    例:

        select id, #{params} as params1 from user where id = #{params};// 只能用来作为参数

        select id, ${params} as params2 from ${params} where id = ${params};// 可以用来作为sql语句、参数

        传入123

        select id, "123" as params1 from user where id = "123";// 只能用来作为参数

        select id, 123 as params2 from 123 where id = 123// 可以用来作为sql语句、参数

        如果传入user; delete from user;--

        select id, "user; delete from user;--" as params1 from user where id = "user; delete from user;--";// 只能用来作为参数

        select id, "user; delete from user;--" as params2 from user; delete from user;-- where id = 123// 可以用来作为sql语句、参数

然后,第二天你就可以哭了!


多多指教!!!

怎么可能-怎么可能
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis下动态sql中##和$$的区别讲解
08-26
今天小编就为大家分享一篇关于Mybatis下动态sql中##和$$的区别讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
一些特殊SQL使用Mybatis的#{}和${}注意点
神笔码农.的博客
10-18 2019
Mybatis对JDBC进行了进一步封装,使得我们可以更加便捷的使用Java操作数据库。#{}和${}在大部分情况下,#{}和${}都能相互替代,使用两者之一即可,更加推荐使用#{},因为可以防止SQL注入问题,但是由于#{}和${}本质上的不同,部分SQL语句使用#{}和${}需要格外注意。
mybatis中#{}和${}的区别
Zhangsama1的博客
08-27 4609
​1:尽量使用#{},只要能使用#{}解决,尽量使用#{}​2:表名作为参数,使用order by排序的时候使用${}3:多参数的时候尽量使用@Param注解,@Param注解作用为给参数命名,命名后即可根据名字得到对应的参数值​。...
MyBatis 的 #{} 和 ${} 的使用场景
kennyharris
03-17 925
mybatis
mybatis中#和$符号的区别
weixin_34384915的博客
07-19 347
mybatis做为一个轻量级ORM框架在许多项目中使用,因其简单的入门受到了广大开发者的热爱。在近期项目中再做一个相关的开发,碰到了#、$符号这样的问题,之前没怎么注意过,通过学习之后,有了点感悟,分享如下, #{} 使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句中如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且...
MyBatis 中 #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1149
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS中 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
mybatis中的#和$的区别?
gol_phing的博客
08-12 718
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为
mybatis学习笔记
weixin_47840269的博客
11-14 212
Mybatis简介 1.什么是mybatisMyBatis 是一款优秀的持久层框架。(持久层:将程序的数据持久状态和瞬时状态转化的过程) 它支持自定义 SQL、存储过程以及高级映射。 MyBatis 免除了几乎所有的 JDBC 代码以及设置参数和获取结果集的工作。 MyBatis 可以通过简单的 XML 或注解来配置和映射原始类型、接口和 Java POJO(Plain Old Java Objects,普通老式 Java 对象)为数据库中的记录。 MyBatis 本是apache的
mybatis的@注解说明
qq_50957390的博客
10-16 1302
mybatis的@注解说明 注解方式是MyBatis的一种比较简单容易实现的方式,相对起xml文件方式,更适合简单的SQL语句。 注解式开发 @Repository 仓库一般存在于dao层 也就是将DAO类声明为Bean (即mabatis的mapper接口)声明为Bean -->bookdao @Service 服务的意思 **@Service **注解用于类上,标记当前类是一个service类, 加上该注解会将当前类自动注入到spring容器中,不需要再在
浅谈Mybatis #和$区别以及原理
08-18
主要介绍了浅谈Mybatis #和$区别以及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
主要介绍了Mybatis中#{}和${}传参的区别及#和$的区别小结 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
浅谈mybatis中的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis中的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
09-MyBatis 占位符#和$
鸣鼓ming的博客
01-14 1115
1.#占位符 #占位符告诉 mybatis 使用实际的参数值代替。并使用 PrepareStatement 对象执行 sql 语句, #{…}代替 sql 语句的“?”。这样做更安全,更迅速,通常也是首选做法. xml <select id="getUserById" resultType="com.limi.entity.User"> <!--要执行的 sql 语句--> select * from t_user where id = #{
Mybatis中#和$的区别
Qiaoshurui的博客
02-18 702
区别: 1)#{ }是预编译处理,MyBatis在处理#{ }时,会将sql中的#{ }替换为?,然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号,如传入1,2,3就会变成’1,2,3’。 2)${}是字符串替换,Mybatis在处理时,会将其替换为变量的值,在like和order by后使用 注意:使用${ }会导致SQL注入,不利于系统的安全性! ...
Mybatis #和$获取参数值的区别以及@param的使用场景
Tom098的博客
12-04 3600
Mybatis 中$与#的区别 1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于select id,name,age from student where id ='1'. 2 $是将传入的数据直接显示生成sql语句,eg:select id,name,ag...
mybatis注解
技术分享
09-14 9989
mybatis使用注解开发
@Results用法总结
新手学android
10-31 1924
MyBatis中使用@Results注解来映射查询结果集到实体类属性。 (1)@Results的基本用法。当数据库字段名与实体类对应的属性名不一致时,可以使用@Results映射来将其对应起来。column为数据库字段名,porperty为实体类属性名,jdbcType为数据库字段数据类型,id为是否为主键。 @Select({"select id, name, class_id from my_...
mongodb 格式化时间
热门推荐
u014259503的博客
12-03 1万+
1、$dateFromString (aggregation) { $dateFromString: { dateString: &lt;dateStringExpression&gt;, // 要转换的时间字符串 format: &lt;formatStringExpression&gt;, // 转换的格式,‘%Y-%m-%dT%H:%M:%S.%LZ’ ...
mybatis #和$的区别
最新发布
09-19
MyBatis中,${}和#{}都是用来替换参数的符号,但它们有以下几个区别: 1. 功能不同:${}是直接替换参数的值,而#{}是进行预处理,并将参数的值设置到预编译语句中。 2. 使用场景不同:通常情况下,我们使用#{}来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值