MyBatis中#{}和${}的作用与区别

最新推荐文章于 2024-03-14 16:46:57 发布
最新推荐文章于 2024-03-14 16:46:57 发布
阅读量6.2k 收藏 45
点赞数 8
分类专栏: 面试 文章标签: mysql sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38088772/article/details/114503189
版权

在mybatis中#和$的主要区别是:#传入的参数在SQL中显示为字符串,#方式能够很大程度防止SQL注入;$传入的参数在SQL中直接显示为传入的值,$方式无法防止SQL注入。

1、传入的参数在SQL中显示不同

#{} 将传入的参数(数据)在SQL中显示为字符串,会对自动传入的数据加一个双引号。
「对自动传入的数据加一个双引号」

例:使用以下SQL语句

SELECT id,name FROM student WHERE id =#{id};

//当我们传递的参数id为 "1" 时,上述 SQL 的解析为:

SELECT id,name FROM student WHERE id ="1";

${} 将传入的参数(数据)直接显示生成在SQL中

例:使用以下SQL语句

SELECT id,name FROM student WHERE id =${id};

//当我们传递的参数id为 "1" 时,上述 sql 的解析为:

SELECT id,name FROM student WHERE id =1;

2、#{}可以防止SQL注入的风险(语句的拼接);但${}无法防止SQL注入。

3、${}方式一般用于传入数据库对象,例如:表名用参数传递进SQL。

4、大多数情况下还是经常使用#{},一般能用#{}的就别用${};但有些情况下必须使用${},例:MyBatis排序时使用ORDER BY动态参数时需要注意,得用${}而不是#{}。

5、#{} 的参数替换是发生在 DBMS 中,而 ${} 则发生在动态解析过程中。

MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Ordinary Java Object,普通的 Java对象)映射成数据库中的记录。

动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${};两者都是动态的向sql语句中传入需要的参数。

陈三千
关注
  • 8
    点赞
  • 45
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Mybatis@Param的用法和作用详解
08-29
主要介绍了Mybatis@Param的用法和作用,在文给大家补充了spring@param和mybatis@param使用区别,需要的朋友可以参考下
Java开发MySQL#{} 和 ${}的区别
weixin_57529171的博客
11-12 1865
梗概 #{}: 占位符号,可以防止sql注入,自己会带有双引号; ${}:sql拼接符号,存在sql注入问题,需要在代码过滤以避免注入,不会带有双引号; MyBatis排序使用order by 动态参数时,用${}而不是#{}。 详细区别 #{}: SELECT * FROM user WHERE name = #{nameParam}; 解析为一个JDBC预编译语句后: SELECT * FROM user WHERE name = ?; 即#{} 解析为?,当 nam.
mybatis$和#的区别以及各自的使用场景
最新发布
2301_77760093的博客
03-14 758
MyBatis ,$ 和 # 都是用于参数绑定的,但它们之间存在明显的差异,主要体现在参数的预处理方式和安全性上。
MyBatis #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1080
1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
Java Mybatis的 ${ } 和 #{ }的区别使用详解
weixin_46256278的博客
03-09 466
一、举例说明 select * from user where name = "dato"; select * from user where name = #{name}; select * from user where name = '${name}'; 二、区别 sql 预编译 指的是数据库驱动在发送 sql 语句和参数给 DBMS之前对 sql 语句进行编译,这样 DBMS 执行 sql 时,就不需要重新编译。 一般情况下,我们都不会注意到这里面有什么不一样的地方。.
一文解惑mybatis的#{}和${}
一个菜鸡的博客
07-19 2824
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
mybatis#{}和${}的区别
Zhangsama1的博客
08-27 4562
​1:尽量使用#{},只要能使用#{}解决,尽量使用#{}​2:名作为参数,使用order by排序的时候使用${}3:多参数的时候尽量使用@Param注解,@Param注解作用为给参数命名,命名后即可根据名字得到对应的参数值​。...
Mybatis的$和#
sillyyyy的博客
05-08 2132
SQL语句执行时,Mybatis会将$占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用$占位符可以在某些情况下提高SQL语句的性能,因为在预编译时不需要处理参数占位符。#用于预编译,示参数占位符,例如:#{username}。在SQL语句执行时,Mybatis会将占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用#占位符可以有效地防止SQL注入攻击,因为Mybatis会将参数值转义后再替换占位符。使用哪种占位符取决于具体的需求,如果需要防止SQL注入攻击,则应该使用#占位符;
对pandasapply函数的用法详解
12-25
最近在使用apply函数,总结... 您可能感兴趣的文章:pandasapply和transform方法的性能比较及区别介绍详谈pandasagg函数和apply函数的区别pandas apply 函数 实现多进程的示例讲解pandas 使用apply同时处理两列数
SSM 梳理 面试题整理
10-04
16. Mybatis #和$的区别? 17. Mybatis 的使用步骤是什么样的? 18. 使用 MyBatis 的 mapper 接口调用时有哪些要求 19. mybatis的缓存机制,一级,二级介绍一下。 20. 视图解析器本质是什么 21. 统一解决get...
最全的Spring考题与答案
04-12
一共近百道题与完整答案Spring框架的优点都有什么?...spring 的BeanFactory与ApplicationContext的作用区别?Spring如何实现资源管理?如何在web应用里面配置spring?。。。。。。 适合面试、学习、总结与复习.
mybatis的#{}和${}
submorino的专栏
11-25 2348
mybatis的#{}和${} 1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1)   1)#{}为参数占位符?,即sql 预编译   2)${}为字符串替换,即sql 拼接 (2)   1)#{}:动态解析 ->预编译-> 执行   2)${}:动态解析 ->编译-> 执行 (3)   1)#{}的变量替换是在DBMS   2)${}...
Mybatis#{}和${}的用法
li_w_ch的博客
11-17 1万+
1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。 比如, select * from student where student_name = #{studentName} 如果传入的值为xiaoming,那么解析成sql的值为student_name="xioming"。 2、${}将传入的数据直接显示生成在sql。 如 : select ${fieldNmae} from student where student_age = 18 此时,传入的参数作为要查询的字
请简述MyBatis #{} 和 ${} 之间的区别
Jiali的博客
05-10 1416
​ 首先和都可以用来读取调用Mapper接口时传递给方法的形参值,形参可以是基本类型、引用类型(对象),不管是读取基本类型还是对象的属性,都可以用或直接获取到。
SQL —— #{} 和 ${}
看了就会暴富的博客!
11-17 3377
问题 sql语句可以使用#{} 或${}进行传参,那么他们有什么区别,使用上有什么需要注意的地方呢? 解决 在预编译的处理是不一样的。#{} 在预处理时,会把参数部分用一个占位符 ? 代替,变成如下的 sql 语句:select * from a where name = ?; 而 ${} 则只是简单的字符串替换,在动态解析阶段,该 sql 语句会被解析成:select * from a where name = 'zhangsan'; 实际使用 优先使用 #{}。因为 ${} 可能会导致..
"#{}"和"${}"的区别详解
qq_43670845的博客
04-18 1321
#{}和${}的选择使用原则 优先使用#{}取参,特殊情况才使用${}的方式:当你传入参数是数据库对象参数(比如名,order by的字段名等,因为这些参数不需要单引号对) #{}和${}的区别 关于#{} 1、#{}等同于占位符?,会自动对传入的字符串数据加一对单引号,可以避免Sql注入。 2、#{}可以接收简单类型值或Pojo属性值。 如果parameterType传输单个简单类型值,...
MybatisSQL语句#{}和${}的区别
xp_xpxp的博客
06-30 696
1>.#{}是预编译处理,${}是字符串替换; 2>.在动态SQL解析阶段,#{}和${}会有不同的现: 例如SQL语句: select * from table where field1=#{xxx} AND field2=’${xxx}’; ①.#{}会被解析为一个JDBC预编译语句(prepared statement)的参数标记符占位符?,之后再调用PreparedStatement的set方法来赋值.上面的SQL语句就被解析为: ...... field1=? ②.${}仅仅为一
#{}与${}的区别
热门推荐
weixin_44863976的博客
09-08 1万+
#{}与${}的区别 区别 1. #{} 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符;而${}仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。 2. #{} 解析之后会将String类型的数据自动加上引号,其他数据类型不会;而${} 解析之后是什么就是什么,他不会当做字符串处理。 3...
Mybatis#和$ 的区别
06-03
MyBatis ,"#" 和 "$" 都可以用于 SQL 语句的参数替换,但它们的作用不同。 "$" 号示直接拼接参数,可以将参数直接拼接到 SQL 语句,例如: ``` <select id="getUser" resultType="User"> SELECT * FROM user WHERE id = ${id} </select> ``` 在这个例子,如果传入的参数 id 值为 1,那么最终执行的 SQL 语句为: ``` SELECT * FROM user WHERE id = 1 ``` 使用 "$" 号的缺点是容易受到 SQL 注入攻击,因为参数值是直接拼接到 SQL 语句的。 "#" 号示占位符,可以将参数占位符化,例如: ``` <select id="getUser" resultType="User"> SELECT * FROM user WHERE id = #{id} </select> ``` 在这个例子,如果传入的参数 id 值为 1,那么最终执行的 SQL 语句为: ``` SELECT * FROM user WHERE id = ? ``` MyBatis 会将参数值设置到 SQL 语句的占位符,避免了 SQL 注入攻击。使用 "#" 号的缺点是可能会存在 SQL 注入攻击,因为占位符会被替换为参数值,如果参数值不合法,可能会导致 SQL 注入攻击。 综上所述,使用 "#" 号是更安全的方式,建议在 MyBatis 使用 "#" 号来进行参数替换。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值