Mybatis中的 $ 和 # 的区别

最新推荐文章于 2023-05-08 10:46:44 发布
最新推荐文章于 2023-05-08 10:46:44 发布
阅读量188 收藏
点赞数 1
分类专栏: Java Mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39046930/article/details/97258728
版权
  • 开头
  • 区别
  • 运行结果分析
  • 解决办法

开头

在每日一篇技术文章研读过程中,工作发狂:MyBatis 中 $ 和 # 千万不要乱用! 学习了 在Mybatis文件中 # 和 $ 好的理论知识。忍不住自己动手实践一遍。

下面为测试的的代码:

XXXMappMapper.java

 List<StatisticsInfo> selectByExampleByIdList(@Param("idList") String idList);

 List<StatisticsInfo> selectByExampleByIdList2(@Param("idList") String idList);

XXXMapper.xml

<select id="selectByExampleByIdList" resultMap="BaseResultMap">
	select * from biz_statistics_info where id in(#{idList})
</select>

<select id="selectByExampleByIdList2" resultMap="BaseResultMap">
	select * from biz_statistics_info where id in(${idList})
</select>

调用时打印的sql日志。

2019-07-25 13:51:36.860 [main] DEBUG com.angzk.dao.mapper.StatisticsInfoMapper.selectByExampleByIdList - ==>  Preparing: select * from biz_statistics_info where id in(?) 
2019-07-25 13:51:36.895 [main] DEBUG com.angzk.dao.mapper.StatisticsInfoMapper.selectByExampleByIdList - ==> Parameters: 1,2,3,4(String)
2019-07-25 13:51:36.930 [main] DEBUG com.angzk.dao.mapper.StatisticsInfoMapper.selectByExampleByIdList - <==      Total: 1



2019-07-25 13:51:36.978 [main] DEBUG com.angzk.dao.mapper.StatisticsInfoMapper.selectByExampleByIdList2 - ==>  Preparing: select * from biz_statistics_info where id in(1,2,3,4) 
2019-07-25 13:51:36.979 [main] DEBUG com.angzk.dao.mapper.StatisticsInfoMapper.selectByExampleByIdList2 - ==> Parameters: 
2019-07-25 13:51:36.992 [main] DEBUG com.angzk.dao.mapper.StatisticsInfoMapper.selectByExampleByIdList2 - <==      Total: 4

从Mybatis 打印的sql 日志中可以看到。 #{idList}的时候,参数是一个字符串。而${idList} 的时候参数直接拼接到了 sql 语句上,他们的处理方式不一样。

区别

1.#{}是预编译处理,Mybatis 在处理#{}时,他会将 sql 的#{}替换为 ? 然后调用 PreparedStatement的set方法来赋值(给 ? f赋值),传入字符串后,会在值两边加上单引号,如上面的值 “1,2,3,4”就会变成“ '1,2,3,4' ”;

2.${}是字符串拼接替换,在处理${}是字符串替换,MyBatis 在处理${},会将sql中的它替换为变量的值,传入的值不会加上双边单引号。

3.${}会出现sql 注入,不利于系统安全性。

运行结果分析

#{idList} 的 函数返回了 1条数据。${idList} 的 函数返回了 4条数据。

#{idList} 的sql 语句:select * from biz_statistics_info where id in('1,2,3,4'). 

由于传入的参数是个 字符串(看图。),id 字段为 int 类型。mysql 通过内置函数 cast 或者 convert 对 '1,2,3,4' 进行类型转换。

 

所以最终运行sql : select * from biz_statistics_info where id in(1)。然后返回了一条 id = 1 的数据。. 

解决方法

使用 foreach 标签。把入参的字符串变成 List 

select * from biz_statistics_info where id in

<foreach collection="list" item="item" index="index" open="(",close=")" separator=",">
    #{item}
</foreach>

一般情况下,大家使用的 Mapper.xml 都会使用  MyBatis Generator 来自动生成 ,里面有提供的 foreach 代码片段。具体大家可以在使用中自行研究。

补充

关于Mysql 类型转换的文章请移步至此:MySQL 数据类型转换

Angzk
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis的#和$的区别
kobi521的专栏
11-25 11万+
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是111,那么解析成sql时的
Java Mybatis的 ${ } 和 #{ }的区别使用详解
08-18
Java Mybatis的 ${ } 和 #{ } 的区别使用详解 Java Mybatis 的 ${ } 和 #{ } 是两个不同的占位符,都是用于在 Mybatis 进行动态 SQL 语句的构建和参数传递。然而,这两个占位符在使用时有着极其重要的区别。 ...
MyBatis ${}和 #{}的正确使用方法(千万不要乱用)
08-18
主要介绍了MyBatis ${}和 #{}的正确使用方法,本文给大家提到了MyBatis ${}和 #{}的区别,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
mybatis #{} 以及 ${}
热门推荐
minzhang001的博客
10-23 1万+
动态 sql 是 mybatis 的主要特性之一,在 mapper 定义的参数传到 xml 之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 在下面的语句,如果 username 的值为 zhangsan,则两种方式无任何区别:select * from user where name = #{name
Mybatis #和$
井底之蛙
03-16 1万+
mybatis的mapper文件,对于传递的参数我们一般是使用#和$来获取参数值。 当使用#时变量是占位符,就是一般我们使用java jdbc的PrepareStatement时的占位符?,所有可以防止sql注入 当使用$时,变量就是直接追加在sql,一般会有sql注入问题。 一个问题就是:在使用mybatis传递时间变量时,如果通过#方式获取变量值,可能会出现与数据库的字段的
mybatis # &
cool_and_gentle的博客
08-22 522
mybatis可以通过# $ 进程sql拼接 拼接后的sql其实并没有什么不同 但在预编译阶段 #{} ${} 的处理是不同的 #{} 在预编译阶段会处理成一个占位符 ${} 只是简单的字符串拼接 #{} 的参数替换是发生在 DBMS ,而 ${} 则发生在动态解析过程 所以 &{}会产生sql注入的问题 什么是DBMS DBMS 是“数据库管理系统”的简称(全称 DataBase Management System)。 实际上它可以对多个数据库进行管理,所..
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
MyBatis使用$和#所遇到的问题及解决办法
09-01
MyBatis,$和#的使用是动态SQL的关键部分,它们决定了参数如何被处理和插入到SQL语句。下面将详细解释这两种符号的差异以及如何解决使用过程遇到的问题。 1. #{}与${}的区别: - #{ }:这是MyBatis的预...
MyBatis #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1237
1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
mybatis的#和$的区别?
gol_phing的博客
08-12 774
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为
mybatis的#和$
yangyou55的博客
06-02 356
#相当于对数据 加上 双引号,$相当于直接显示数据 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".  2. $将传入的数据直接显示生成在sql。如:order by $user_id$,如...
Mybatis的$和#
最新发布
sillyyyy的博客
05-08 2597
在SQL语句执行时,Mybatis会将$占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用$占位符可以在某些情况下提高SQL语句的性能,因为在预编译时不需要处理参数占位符。#用于预编译,表示参数占位符,例如:#{username}。在SQL语句执行时,Mybatis会将占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用#占位符可以有效地防止SQL注入攻击,因为Mybatis会将参数值转义后再替换占位符。使用哪种占位符取决于具体的需求,如果需要防止SQL注入攻击,则应该使用#占位符;
mybatis #{} ${}
weixin_47967397的博客
02-19 132
order by 后面必须用$ order by ${} ${}
mybatis的#{}和${}
submorino的专栏
11-25 2411
mybatis的#{}和${} 1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1)   1)#{}为参数占位符?,即sql 预编译   2)${}为字符串替换,即sql 拼接 (2)   1)#{}:动态解析 ->预编译-> 执行   2)${}:动态解析 ->编译-> 执行 (3)   1)#{}的变量替换是在DBMS   2)${}...
mybatis #{} 和 ${}
即客星球的博客
12-19 387
简介: mybatis 有 # 和 $ 两种输出参数的符号,他们之间是有一些不一样的使用场景.. 首先来看一下啊 sql 语句 1 sql 语句 (1)使用 ${} sql select * from user u where u.name = '${name}' select * from user u where u.name = 'test' ${} 是直接填充值 (2)#{} ...
Mybatis的 ${} 和 #{}
qq_31484941的博客
03-20 800
Mybatis 的Mapper.xml语句parameterType向SQL语句传参有两种方式:#{}和${}我们经常使用的是#{},一般解说是因为这种方式可以防止SQL注入,简单的说#{}这种方式SQL语句是经过预编译的,它是把#{}间的参数转义成字符串,举个例子:select * from student where student_name = #{name} 预编译后,会动态解析成一...
mybatis内的一些区别
lyf_ldh的博客
09-12 158
#{}和${} #{}表示一个占位符号,通过#{}可以实现preparedStatement向占位符设置值,自动进行java类型和jdbc类型转换。#{}可以有效防止sql注入。 #{}可以接收简单类型值或pojo属性值。 如果parameterType传输单个简单类型值,#{}括号可以是value或其它名称。 ${}表示拼接sql串,通过${}可以将parameterType 传入的
Mybatis$与#的区别, $的应用场景
04-23
Mybatis$和#都用于动态SQL语句的参数绑定,但它们之间有几个区别: 1. #用于预编译,$用于值传递。#会将参数放入预编译语句的占位符,可以避免SQL注入,但会使SQL语句无法重用;$将参数直接拼接进SQL,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值