mysql传参数 和 区别_Mybatis中使用 #{} 和 ${} 向sql传参时的区别

最新推荐文章于 2022-09-26 21:42:01 发布
最新推荐文章于 2022-09-26 21:42:01 发布
阅读量277 收藏
点赞数
文章标签: mysql传参数 和 区别
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30715739/article/details/113443674
版权

今天在工作时,使用MyBatis中向sql传递两个参数时,一直显示SQL语法错误,仔细检查,才发现传入的参数被加上了引号,导致传入的参数(要传入的参数是表名)附近出现语法错误。

错误写法:

1 select pro_type, name, b.info from #{0} a inner join #{1} b on a.config_id = b.config_id;

这种写法在控制台报错:

select pro_type, name, b.info from ? a inner join ? b on a.config_id = b.config_id;

### Cause: com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''dana.auto_kpi_cfg_info' a inner join 'kingnetio.meta_config_info' b on a.config' at line 1

我们发现通过占位符传进来的参数两个表名都被加上了引号,这就导致在执行SQL时,会报语法错误。

后来特地查阅相关资料,改成使用${}:

1 select pro_type, name, b.info from ${param1} a inner join ${param2} b on a.config_id = b.config_id;

控制台日志信息如下:

Preparing: select pro_type, name, b.info from dana.auto_kpi_cfg_info a inner join kingnetio.meta_config_info b on a.config_id = b.config_id;

在传入的表名参数上没有添加引号了。

现在特此整理这两种用法的不同点:

(1)首先一点就是,#{}传递参数时,会在传递的参数上加上引号,在传递属性比如   name=? 时,可以很方便的使用#{}。而${}则不会添加引号,传递的是什么就会直接放到SQL中去执行。

(2)通过上面的日志信息我们可以看到,#{}传递的参数实际上是通过占位符去传入到已经预编译好的SQL中去的,所以此时的SQL已经完成编译,只需要传参数就完成执行了。而${}在日志中显示的是直接将参数拼接成完整的SQL去DBMS中编译执行的。所以#{}方式实际上比${}方式更加安全,不会引起SQL注入。但是在传入表名参数时,只能使用${},这时候,必须要在接受参数的时候加入逻辑判断,判断参数中是否存在SQL语句,以防引起注入。

日签君AIUX
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql ${param}与#{param}使用区别
09-08
主要介绍了mysql ${param}与#{param}使用区别,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参生成不同的SQL语句。在Mybatis使用...
sql 传参 获取mybatis_Mybatis Sql语句#{},和 ${}传参区别
weixin_31002059的博客
02-11 135
#{},和 ${}传参区别如下:使用#传入参sql语句解析是会加上"",当成字符串来解析,这样相比于$的好处是比较明显对的吧,#{}传参能防止sql注入,如果你传入的参为 单引号',那么如果使用${}这种方式会报错另外一种场景是,如果要做动态的排序,比如 order by column,这个候务必要用${}select * from table order by 'name' ,这样是...
Mybatis#和$传参区别
Peng_Zachary的博客
04-19 132
使用#{}传入参sql语句解析借助log4j输出日志看到的sql语句select * from table_name where column_name = ? 使用${}传入参,借助log4j打印出来字符串拼接。所以#{}传参能防止sql注入
说说用#{},和 ${}传参区别
shizhk_boke
01-03 1008
说说用#{},和 ${}传参区别: 1、使用#传入参是,sql语句解析是会加上‘’,是单引号。 比如  select * from table where name = #{name} ,传入的name为小李,那么最后打印出来的就是  select * from table where name = ‘小李’ 就是会当成字符串来解析,#{}传参能防止sql注入, 如果你传入的
Mybatis 传参,$ 和# 的区别
shaozengwei的专栏
12-20 151
MyBatis使用parameterType向SQL语句传参,parameterType后的类型可以是基本类型int,String,HashMap和java自定义类型。 在SQL引用这些参候,可以使用两种方式#{parameterName}或者${parameterName}, 首先,我们说一下这两种引用参区别使用#{parameterName}引用参候,Mybati...
Mybatis#{}和${}传参区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参占位符,它们在处理传参有着显著的差异,同也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参占位...
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的据...
详解mybatis #{}和${}的区别传参、基本语法
08-18
首先,需要清楚一点,动态SQLMyBatis的一个强大特性之一,在mapper定义的参传到xml之后,在查询之前MyBatis会对其进行动态解析,#{}和${}在预编译的处理是不一样的。 例如:select * from t_user where ...
MyBatis#{}和${}的区别详解
09-01
SQL语句使用`#{}`MyBatis会将传入的值转化为一个问号(?)代表的参,例如`WHERE user_id = #{user_id}`。这样做的好处是能够防止SQL注入攻击,因为据库会将这些参视为预定义的值,而不是直接拼接到SQL...
mybatis直接执行sql语句后续之一
04-18
NULL 博文链接:https://benworld.iteye.com/blog/1841031
mysql#和$
SmileTimLi的博客
05-09 6918
1、# 原样输出 select * from table where name = #{param} 则解析成的sql为: select * from table where name = “id” 为了安全,能用#的地方就用#方式传参,这样可以有效的防止sql注入攻击 2、$可能会sql注入 sql注入简介 某个网站的登录验证的SQL查询代码为: strSQL = ...
mysql传参区别_mybatis#{}和${}传参方式的区别
weixin_34870633的博客
02-08 310
MyBatis 是支持普通 SQL查询,存储过程和高级映射的优秀持久层框架。MyBatis 消除了几乎所有的JDBC代码和参的手工设置以及结果集的检索。MyBatis 使用简单的 XML或注解用于配置和原始映射,将接口和 Java 的POJOs(Plain Old Java Objects,普通的 Java对象)映射成据库的记录。每个MyBatis应用程序主要都是使用SqlSessionFa...
mybatis 绑定参不带引号(${}与#{}的区别
Sbaby~的博客
03-18 7794
#{} 传入的值会在两边加上引号。(能防止SQL注入) ${} 传入的值会直接加到SQL。(一般用于传入据库对象,如表名、据库名等,在order by使用) 官方文档这样描述的: 字符串替换 默认情况下,使用#{}参语法MyBatis 会创建PreparedStatement参占位符,并通过占位符安全地设置参(就像使用 ? 一样)。 这样做更安全,更迅速,通常也...
mybatis传参使用#传参查询不出据,改成$传参就可以查询出据了
你一看就不是好人
10-30 3712
使用mybatis传参使用#传参查询不出据,改成$传参就可以查询出据了,一直排查不出来原因,因为$传参不安全会导致sql注入,所以还是仔细查找该问题的原因。 log4j打印的sql和参都没问题 sql复制到oracle也可以执行 但通过mybatis就查询不到结果 后来在网上终于找到了答案 https://blog.csdn.net/gnail_oug/article/details/7...
面试专题:微众面试复盘
lxn1023143182的博客
03-01 377
今天参加了微众的面试,间越长越紧张,源码细节,代码的系列不扎实的问题就逐渐暴露出来了,趁着没忘,先记下,后续补充答案,面试题无序 面试长:63分钟 cpu突然彪高到100%怎么处理? 我答:使用top命令查看占用比例最大的进程,用jstack查看具体的内容,jmap查看对象信息 参考答案: 如何做T-1天的据表备份 我答:使用分区按分秒,面试官说不对,我说使用表?面试官提示用分页,然后紧接着问分页越往后越慢怎么处理? 参考答案:可以使用分页,越往后面用子查询。待补充 编程式 jdbc创建的事务
MySQL基础学习
Akatsuki333的博客
08-26 1217
MySQL基础学习
mybatis框架实现在传入任意sql查询据库方法
leolon_的博客
09-26 2161
mybatis框架实现在传入任意sql查询据库方法
#{}和${}的区别
lt_zl的博客
04-19 7794
#{} 和 ${}的区别,如何在实际应用使用 在平常写mybatis的动态SQL语句,大多使用的是#{} 。至于${} ,没用过,也不知道是什么。实际大多情景下,我们使用的也都是#{},很少有场景会用到${}。 1.两者的区别 #{}:使用的是预编译,对应JBDC的PreparedStatement ${}:mybatis不会修改或者转义字符换,直接输出变量值 2.实际应用 举例:...
mybatis使用#和$书写占位符有什么区别
最新发布
06-06
MyBatis使用#和$书写占位符有什么区别? 在MyBatis使用#和$书写占位符都是用来替换SQL语句的参,但是它们的功能和作用是不同的。#代表参预处理,它会将传入的值自动封装成对应的Java类型,可以防止SQL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值