MyBatis中#{}和${}的区别

最新推荐文章于 2022-06-09 17:37:30 发布
最新推荐文章于 2022-06-09 17:37:30 发布
阅读量159 收藏
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangyunzhao007/article/details/103752076
版权

在mybatis中的有两种动态传参的方式。

一种是#{},另一种是${}。

动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${} 。

1、#相当于对数据 加上 双引号,$相当于直接显示数据。

2、#{} : 根据参数的类型进行处理,比如传入String类型,则会为参数加上双引号。#{} 传参在进行SQL预编译时,会把参数部分用一个占位符 ? 代替,这样可以防止 SQL注入。
3、${} : 将参数取出不做任何处理,直接放入语句中,就是简单的字符串替换,并且该参数会参加SQL的预编译,需要手动过滤参数防止 SQL注入。
4、因此 mybatis 中优先使用 #{};当需要动态传入 表名或列名时,再考虑使用 ${} , 比较特殊,他的应用场景是需要动态传入表名或列名时使用,MyBatis排序时使用orderby动态参数时需要注意,用{} 比较特殊, 他的应用场景是 需要动态传入 表名或列名时使用,MyBatis排序时使用order by 动态参数时需要注意,用比较特殊,他的应用场景是需要动态传入表名或列名时使用,MyBatis排序时使用orderby动态参数时需要注意,用而不是#。

例如:
1、#对传入的参数视为字符串,也就是它会预编译,select * from user where user_name=${rookie},比如我传一个rookie,那么传过来就是 select * from user where user_name = ‘rookie’;

2、$不会将传入的值进行预编译, select * from user where user_name= ${rookie} ,那么传过来的sql就是:select * from user where user_name=rookie;

3、#优势在于它能很大程度防止sql注入,$ 不行。比如:用户进行一个登录操作,后台sql验证式样的:
select * from user where user_name=#{name} and password = #{pwd},如果前台传来的用户名是“rookie”,密码是 “1 or 2”,用#的方式就不会出现sql注入,换成用$ 方式,sql语句就变成了 select * from user where user_name=rookie and password = 1 or 2。这样的话就形成了sql注入。


原文链接:https://blog.csdn.net/weixin_44739349/article/details/91039280

王云召
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
浅谈mybatis的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Mybatis的${}和#{}区别
m0_62520968的博客
05-10 1296
一、${}与#{}的区别 1、符号类型 (1)#{}:参数占位符,即预编译 (2)${} :字符串替换符,即SQL拼接 2、防注入问题 (1)#{}:很大程度上能防止sql 注入 (2)${}:不能防止sql 注入 3、参数替换位置 DBMS:数据库管理系统(Database Management System)是一种操纵和管理数据库的大型软件,是用于建立、使用和维护数据库,简称DBMS。它对数据库进行统一的管理和控制,以保证数据库的安全性和完整性。用户通过DBMS访问数据库的数据,数据库管理员也通
Mybatis#{}和${}的区别是什么?
最新发布
m0_56852464的博客
06-09 1090
Mybatis#{}和${}的区别是什么?
mybatis#{}和${}的区别
weixin_34149796的博客
08-17 2454
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".  2. $将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为orde...
Mybatis的#和$的区别
热门推荐
qq_27811247的博客
06-22 4万+
在学校的时候,想必大家肯定听老师讲过,在mybatis,配置参数要用#,不要用$符号。因为$不安全,容易被sql注入。讲是这么讲,但是如何注入的,大家一起来看看吧。 一:下面我们写个关于“#”的个sql,看能不能注入。 <select id="selectUser" resultMap="BaseResultMap"> SELECT ...
浅谈Mybatis #和$区别以及原理
08-18
主要介绍了浅谈Mybatis #和$区别以及原理,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
主要介绍了Mybatis#{}和${}传参的区别及#和$的区别小结 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
Mybatis下动态sql##和$$的区别讲解
08-26
今天小编就为大家分享一篇关于Mybatis下动态sql##和$$的区别讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
MyBatis#{}和${}的区别详解
莫日向西的博客
09-02 499
最近在用mybatis,之前用过ibatis,总体来说差不多,不过还是遇到了不少问题,再次记录下. 先给大家介绍下MyBatis#{}和${}的区别,具体介绍如下: 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为
mybatis学习之路----#{}, ${}两种传参数方式的区别--附源码解读
小菜鸟的专栏
09-09 4806
点滴记载,点滴进步,愿自己更上一层楼。
MyBatis#{}和${}的作用与区别
陈三千的博客
03-07 6221
mybatis#和$的主要区别是:#传入的参数在SQL显示为字符串,#方式能够很大程度防止sql注入;$传入的参数在SqL直接显示为传入的值,$方式无法防止Sql注入。 1、传入的参数在SQL显示不同 #{} 将传入的参数(数据)都当成是一个字符串,在SQL显示为字符串,会对自动传入的数据加一个双引号。 「对自动传入的数据加一个双引号」 例:使用以下SQL语句 select id,name from student where id =#{id}; //当我们传递的参数id为 "1" 时,上
mybatis#和$的区别
灰太狼
03-22 2万+
mybatis接口mapper文件引用传入的参数是通过#{param}或者${param}来使用的。1.数据类型匹配#:会进行预编译,而且进行类型匹配$:不进行数据类型匹配2.实现方式 #:用于变量替换$:实质上是字符串拼接3.#和$的使用场景(1)变量的传递,必须使用#,使用#{}就等于使用了PrepareStatement这种占位符的形式,提高效率。可以防止sql注入等等问题。#方式一般用...
MyBatis的#{} 和 ${}区别 3
weixin_43635271的博客
01-19 384
#{}引用值的用法 用法和MyBatis2文章相同 ${}引用值的用法 在UserMapper.xml配置: **在此处通过${xxx}的语法用来引用属性。 测试类: #{} 和 ${}区别 #{}在引用时,如果发现目标是一个字符串,则会将其值作为一个字符串拼接在sql上 KaTeX parse error: Expected 'EOF', got '#' at position 55: ...
Mybatis的#{}和${}的区别
YokiMr的博客
08-04 139
#{}:在mybatis代表一种占位符,在大括号编写参数名称接收对应的输入参数。接收的参数可以是简单类型,普通Javabean或者HashMap。接收简单类型时,大括号可以写value来代替参数名称。 (简单来说就是经过预编译的,使用的是preparedStatement) $ {}:在mybatis,$ {}在SQL配置文件代表拼接符号,可以在原有SQL语句拼接上新的SQL语句,要...
Mybatis mapper.xml里面${} 和 #{}区别与用法
qq_43589143的博客
07-18 3356
Mybatis 的Mapper.xml语句parameterType向SQL语句传参有两种方式:#{}和${} #{}方式能够很大程度防止sql注入。 $方式无法防止Sql注入。 $方式一般用于传入数据库对象,例如传入表名. 一般能用#的就别用$. #{}表示一个占位符即?,可以有效防止sql注入。在使用时不需要关心参数值的类型,mybatis会自动进行java类型和jdbc类型的转换。 #{}可以接收简单类型值或pojo属性值,如果传入简单类型值,#{}括号可以是任意名称。 ${}可以将param
mybatisxml文件的${}和#{}区别
Chen Rong的博客
03-03 3487
在项目要实现所有业务批量提交的功能,实现方式,把表名,表主键字段当做参数传递,在xml文件全部使用的#{},导致解析的时候出现问题。 1 #是将传入的值当做字符串的形式, eg:select id,name,age from student where id =#{id},当前端把 id 值 1,传入到后台的时候,就相当于 select id,name,age from student whe...
MyBatis的xml #和$的区别
梅林's hat
11-11 1453
1. #是将传入的值当做字符串的形式 select id,name,age from student where id =#{id} 当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1 2 $是将传入的数据直接显示生成sql语句 select id,name,age from student where id =${id} 当前端把id值1,传入到后台的时候,就相当于 select i...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值