java mybatis $区别,浅谈Mybatis #和$区别以及原理

最新推荐文章于 2023-10-23 10:15:42 发布
最新推荐文章于 2023-10-23 10:15:42 发布
阅读量303 收藏
点赞数
文章标签: java mybatis $区别

总结:

1.#可以防止Sql 注入,它会将所有传入的参数作为一个字符串来处理。

2.$ 则将传入的参数拼接到Sql上去执行,一般用于表名和字段名参数,$ 所对应的参数应该由服务器端提供,前端可以用参数进行选择,避免 Sql 注入的风险

为什么?

为什么# 和 $ 的作用不同,Mybatis 对他们做了哪些惨无人道的处理,我们看一下下面的例子,并追踪一下源码总结。

示例代码:

创建一个 tb_class 表(具体字段不做解释)。

创建一个 ClassDao.java 并使用注解的方式 ,tableName 代表查询的表,id代表主键 :

public interface ClassDao {

/**

* 测试 # 和 $ 符号区别

* @param tableName 表名

* @param id 主键

* @return

*/

@Select("select * from ${tableName} where class_id = #{id}")

ClassInfo selectEntityByTableNameAndId(@Param("tableName") String tableName, @Param("id") Integer id);

}

创建一个Test 方法:

@Test

public void testMybatis() throws IOException {

ClassInfo classInfo = classDao.selectEntityByTableNameAndId("tb_class", 1);

System.err.println("classInfo : " + JSONObject.toJSONString(classInfo));

}

源码分析:

看过代码的小伙伴应该知道, Mybatis 执行 入口是 DefaultSqlSession.selectOne()方法。我们Debug 启动 testMybatis()方法,并在 DefaultSqlSession.selectOne()添加断点,一行行执行Mybatis 代码:

160e9d9993ef7624db75bc15ea4aba45.png

一步步向下走,当走到代码: org.apache.ibatis.executor.statement.PreparedStatementHandler#query方法时,可以看到 PreparedStatement 相信大家对这个应该不会陌生,预编译Sql并通过占位符的方式放置参数,现在 我们对比一下我们在 Dao 中的 sql : select * from ${tableName} where class_id = #{id}

31ae0a5ccc54335a2bfe62299c13575d.png

如图所示,我们会发现, Mybatis 已经将 sql中 ${tableName} 替换成了 tb_class ,#{id} 也已经变成了 占位符 ?,生成了 Sql : select * from tb_class where class_id = ?。这已经是一目了然了,Mybaitis 封装了JDBC ,执行时会将我们注解 或 Mapper 中的 Sql 和参数进行处理,并交给 PreparedStatement 来执行。

至于Mybatis怎么修改的Sql 大家可以Debug追踪 org.apache.ibatis.mapping.BoundSql 中参数 sql 来理解。

到此这篇关于浅谈Mybatis #和$区别以及原理的文章就介绍到这了,更多相关Mybatis #和$区别内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

丁晓斌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java Mybatis中的 ${ } 和 #{ }的区别使用详解
08-18
主要介绍了Mybatis中的 ${ } 和 #{ }的区别使用详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
详解Mybatis中的 ${} 和 #{}区别与用法
08-18
主要介绍了Mybatis中的 ${} 和 #{}区别与用法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
mybatis中#和$在使用上有哪些区别
hefk688的博客
09-08 4115
mybatis中#和$的区别是什么 1、传入的参数在SQL中显示不同 #传入的参数在SQL中显示为字符串(当成一个字符串),会对自动传入的数据加一个双引号。 例:使用以下SQL select id,name,age from student where id =#{id} 当我们传递的参数id为 "1" 时,上述 sql 的解析为: select id,name,age from student where id ="1" $传入的参数在SqL中直接显示为传入的值 例:使用以下SQL select id,n
Java笔记--Mybatis中的#和$--2021-05-13
A2113438464的博客
05-24 311
Mybatis中的#和$#:占位符$: 字符串替换例子例1:分别使用id,email列查询Student例2:通用方法,使用不同列作为查询条件 在mapper文件中,我们传参时可以看到一直在使用 #{ } ,它是什么?跟 ${ } 有什么区别?现在讲解记录。 #:占位符 告诉 mybatis 使用实际的参数值代替。并使用 PrepareStatement 对象执行 sql 语句, #{…}代替sql 语句的“?”。这样做更安全,更迅速,通常也是首选做法, 转为 MyBatis 的执行是: String s
MyBatis学习:$占位符的使用
weixin_46281472的博客
08-06 1802
目前我本人正在学习MyBatis框架,在原先了解并且懵懵懂懂使用的基础上,开始系统正式的学习。阐述了MVC架构模式和三层架构,明晰了在Web项目中的普遍编码层次,回顾了JDBC连接数据库,建立了使用MyBatis和MySQL的Maven项目,解释了STDOUT_LOGGING日志和手动提交事务,记录了MyBatis中#占位符的使用方法,回顾了MyBatis执行SQL语句的过程和使用到的一些重要类和接口,记录了将固定化的代码整合到一个工具类MyBatisUtil中,以减少代码量。...
MyBatis中#{}和${}的区别详解
qq_29700907的博客
06-19 432
mybatis和ibatis总体来讲都差不多的。下面小编给大家探讨下mybatis中#{}和${}的区别,感兴趣的朋友一起学习吧 最近在用mybatis,之前用过ibatis,总体来说差不多,不过还是遇到了不少问题,再次记录下. 先给大家介绍下MyBatis中#{}和${}的区别,具体介绍如下: 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id
Mybatis常问:#{}与${}的区别
zjjcchina的博客
06-06 2014
查询到数据才可以是登录成功,否则表示登陆失败,但是会有这么一种情况,我们的SQL语句是由我们拼接的,如果用户故意输入可以让后台解析失败的字符串,这就是SQL注入,例如我们输入密码,输入 '''' ' or 1=1'' 这样,他会在后台进行拼接成select count(1) from table where username = 'username' and password = '' or 1=1;由结果可以看出,我们在没有密码的情况下依旧获取到了数据库的私密信息,由此可见${}存在很大的安全隐患。
浅谈Mybatis #和$区别以及原理
08-18
主要介绍了浅谈Mybatis #和$区别以及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
浅谈mybatis中的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis中的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
主要介绍了Mybatis中#{}和${}传参的区别及#和$的区别小结 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
myBatis和ibatis的区别
12-19
自己总结的myBatis和ibatis的区别
一文解惑mybatis中的#{}和${}
一个菜鸡的博客
07-19 3195
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
【安全】mybatis中#{}和${}导致sql注入问题及解决办法
最新发布
漆黑梦工厂
10-23 2714
使用mybatis的时候遇到了#{}和${}可能导致sql注入的问题。
彻底搞懂MyBaits中#{}和${}的区别
緑水長流*z
07-11 1万+
MyBatis中${}和#{}的区别 1.1 ${}和#{}演示 数据库数据: dao接口: List<User> findByUsername(String username); List<User> findByUsername2(String username); Mapper.xml: <!-- 使用#{} --> <select id="findByUsername" parameterType="java.lang.String" resu
Java--Mybatis中 #{} 和 ${} 的区别
MinggeQingchun的博客
08-18 606
# 和 $ 区别 1、#:占位符(#{}是预编译处理),告诉 mybatis 使用实际的参数值代替。并使用PrepareStatement 对象执行 sql 语句, #{…} 代替 sql 语句的 “?”。这样做更安全,更迅速,通常也是首选做法 Mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋 值; Mybatis在处理{}时,就是把{}替换成变量的值 使用#{}可以有效的防止SQL注入,提高系统安全性 select user_.
Mybatis #和$区别以及原理
热门推荐
张井天的博客
06-04 4万+
总结: #可以防止Sql 注入,它会将所有传入的参数作为一个字符串来处理。 $ 则将传入的参数拼接到Sql上去执行,一般用于表名和字段名参数,$ 所对应的参数应该由服务器端提供,前端可以用参数进行选择,避免 Sql 注入的风险 为什么? 为什么 # 和 $ 的作用不同,Mybatis 对他们做了哪些惨无人道的处理,我们看一下下面的例子,并追踪一下源码总结。 示例代码: 创建一个 tb...
mybatis中的#和$的区别
smalloneperson的博客
01-15 303
#相当于对数据 加上 双引号,$相当于直接显示数据   1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $
工作发狂:MyBatis 中 $ 和 # 千万不要乱用!
芋道源码
07-24 595
点击上方“芋道源码”,选择“设为星标”做积极的人,而不是积极废人!源码精品专栏中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析...
Mybatis系列:Mybatis中 $ 和 # 千万不要乱用!
Mr_chen的博客
05-21 1万+
这是一次代码优化过程中发现的问题,在功能优化后发现部分数据查不到出来了,问题就在于一条sql上的#和$。 从图上可以看出 wwlr.LabelId in(KaTeX parse error: Expected 'EOF', got '#' at position 33: …wlr.LabelId in(#̲{showLabels}),其…处理的方式是不一样的。 区别 #{ }是预编译处理,M...
mybatis中,${} 和 #{} 的区别是什么?
04-23
#{}有什么不同? 在MyBatis中,${}中的值是直接替换到SQL语句中的,相当于直接...这种方式可以有效的避免SQL注入问题,也可以自动进行类型转换,使代码更加健壮和可靠。因此,在MyBatis开发中一般都使用#{}方式传参。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值