mybatis中#与$的区别

最新推荐文章于 2022-07-15 09:31:21 发布
最新推荐文章于 2022-07-15 09:31:21 发布
阅读量213 收藏 2
点赞数 1
分类专栏: 笔记 文章标签: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42078933/article/details/116900958
版权

mybatis中#与$的区别
MyBatis中使用parameterType向SQL语句传参,parameterType支持的类型可以是基本类型int,String,HashMap和java自定义类型。

在SQL中引用这些参数的时候,可以使用两种方式:

#{parameterName}

${parameterName}

首先,我们说一下这两种引用参数时的区别,使用#{parameterName}引用参数的时候,Mybatis会把这个参数认为是一个字符串,并自动加上’’,例如传入参数是“Smith”,那么在下面SQL中:

Select * from emp where name = #{employeeName}
使用的时候就会转换为:

Select * from emp where name = ‘Smith’;
同时使用${parameterName}的时候在下面SQL中

Select * from emp where name = ${employeeName}
就会直接转换为:

Select * from emp where name = Smith

简单说#{}是经过预编译的,是安全的。

而${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。

#{} 这种取值是编译好SQL语句再取值
${} 这种是取值以后再去编译SQL语句
下面我们用一个实际的例子看看分别使用和是否可以防止SQL注入。

首先是使用#{}:


select * from user where account = #{account} and password = #{password}

分别测试正常传参和拼接传参:

// 使用#{} 正常传参
Map<String, Object> parameter = new HashMap<>();
parameter.put(“account”, );
parameter.put(“password”, password);
MyUser mu = ss.selectOne(“com.mybatis.mapper.UserMapper.selectUser”, parameter);
System.out.println(“返回结果:” + mu);

// 使用#{} 拼接传参
Map<String, Object> parameter_1 = new HashMap<>();
parameter_1.put("account", "201301001");
parameter_1.put("password", "111111" + "or account = 'admin' ");
MyUser mu_1 = ss.selectOne("com.mybatis.mapper.UserMapper.selectUser", parameter_1);
System.out.println("返回结果:" + mu_1);

结果如下:

img

DEBUG [http-nio-8080-exec-5] - ==> Preparing: select * from user where account = ? and password = ?
DEBUG [http-nio-8080-exec-5] - > Parameters: 201301001(String), 111111(String)
DEBUG [http-nio-8080-exec-5] - < Total: 1
返回结果:MyUser [id=17, account=201301001, password=111111, name=蒙奇D路飞]
DEBUG [http-nio-8080-exec-5] - ==> Preparing: select * from user where account = ? and password = ?
DEBUG [http-nio-8080-exec-5] - > Parameters: 201301001(String), 111111 or account = ‘admin’ (String)
DEBUG [http-nio-8080-exec-5] - < Total: 0
返回结果:null
很明显,使用#{}的时候,即使传入了恶意参数,#{}只会将其作为一个占位符的参数,如上面这个例子:

DEBUG [http-nio-8080-exec-5] - ==> Preparing: select * from user where account = ? and password = ?
DEBUG [http-nio-8080-exec-5] - > Parameters: 201301001(String), 111111 or account = ‘admin’ (String)
DEBUG [http-nio-8080-exec-5] - < Total: 0
转换为实际的SQL语句:select * from user where account = ‘201301001’ and password = ‘111111 or account = ‘admin’’
现在是使用${}:


select * from user where account = ${account} and password = ${password}

分别测试正常传参和拼接传参:

// 使用${} 正常传参
Map<String, Object> parameter = new HashMap<>();
parameter.put(“account”, “201301001”);
parameter.put(“password”, “111111”);
MyUser mu = ss.selectOne(“com.mybatis.mapper.UserMapper.selectUser2”,parameter);
System.out.println(“返回结果:” + mu);

// 使用${} 拼接传参
Map<String, Object> parameter2 = new HashMap<>();
parameter2.put("account", "201301001");
parameter2.put("password", "111111" + " or account = 'admin' ");
MyUser mu2 = ss.selectOne("com.mybatis.mapper.UserMapper.selectUser2", parameter2);
System.out.println("返回结果:" + mu2);

结果如下:

img

DEBUG [http-nio-8080-exec-18] - ==> Preparing: select * from user where account = 201301001 and password = 111111
DEBUG [http-nio-8080-exec-18] - > Parameters:
DEBUG [http-nio-8080-exec-18] - < Total: 1
返回结果:MyUser [id=17, account=201301001, password=111111, name=蒙奇D路飞]
DEBUG [http-nio-8080-exec-18] - ==> Preparing: select * from user where account = 201301001 and password = 111111 or account = ‘admin’
DEBUG [http-nio-8080-exec-18] - > Parameters:
DEBUG [http-nio-8080-exec-18] - < Total: 2
返回结果:[MyUser [id=1, account=admin, password=111111, name=管理员], MyUser [id=17, account=201301001, password=111111, name=蒙奇D路飞]]
很明显,使用${}将参数拼接后在编译成SQL语句,不能防止SQL注入,查询出了有关account=admin的额外信息,这是很危险的。

Mybatis中的#{}用于传递查询的参数,用于从dao层传递一个string参数过来(也可以是其他参数),select * from 表名 order by age=#{age}

Mybatis会把这个参数转换成一个字符串。select * from 表名 order by age=“age” 相当于jdbc中的预编译,安全。

而${}一般用于order by的后面,Mybatis不会对这个参数进行任何的处理,直接生成了sql语句。例:传入一个年龄age的参数,select * from 表名 order by ${age}

Mybatis生成的语句为 select * from 表名 order by age Mybatis不会对$传递的参数做任何处理,相当于jdbc中的另外一种编译方式。

一般我们使用#{},不使用${},原因:

会引起sql注入,${}会直接参与sql编译。会影响sql语句的预编译。

大象身上的ant
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
mybatis的#和$使用和区别
学无止境
02-27 831
mybatis的#和$使用和区别
mybatis #与$区别
欢迎来到【战羽】的博客
09-09 223
1、 #{} :相当于JDBC SQL语句的占位符? ${}  : 相当于JDBC SQL语句的连接符合 + 2、 #{} : 进行输入映射的时候,会对参数进行类型解析(如果是String类型,那么SQL语句会自动加上单引号‘’) ${}  :进行输入映射的时候,将参数原样输出到SQL语句 3、 #{} : 如果进行简单类型(String、Date、8种基本类型的包装类)的输入...
Mybatis的#{}和${}的区别(面试常问)
爱打篮球爱折腾的程序猿
05-14 303
1、#{}是预编译处理,${}是字符串替换。 2、Mybatis 在处理#{}时,会将 sql 的#{}替换为?号,调用PreparedStatement 的 set 方法来赋值; PreparedStatement ps = conn.prepareStatement(sql); ps.setInt(1,id); 3、Mybatis 在处理$ {}时,就是把${}替换成变量的值。 Statement st = conn.createStatement(); ResultSet rs = s.
mybatis面试之#{}和${}的区别
wang0907的博客
09-07 183
写在前面 其${}可以用在xml配置文件,之后通过属性动态替换,比如${driver}会被动态替换为com.mysql.jdbc.Driver,下面我们重点来看使用在mapper statement的情况。 1:区别 并非在sql语句想要使用哪种就使用哪种,而是和statement语句的statementType属性有关系,该属性有3个值,分别是STATEMENT|PREPARED|CALLABLE(其CALLABLE是存储过程的情况,这里可忽略),当值是STATEMENT时,此时底层使用的JD
面试题:Mybatis $ 和 # 的区别
no problem的博客
04-18 1万+
前言: 能看到这里的各位,想必都是java程序员吧,面试的时候估计大部分的人,都会从面试官口听到这个面试问题吧? 你当时是怎么回答的呢?回答的自信吗?回答的让自己和面试官满意吗?是否知道怎么在自己的项目用#{}和${}符号呢? 如果以上问题你都回答否的话,我想看过这篇文章可以让你回答是。 问题:请说明mybatis#和$的区别? 答: 相同点: 都能取到变量的值。 不同点: #可以实现预编译,会先把#{变量}编译成?,在执行时再取值,可以防止sql注入。 $是直接进行字符串替换。
Mybatis 在传参时,$ 和# 的区别
pan-zy的专栏
10-02 600
MyBatis使用parameterType向SQL语句传参,parameterType后的类型可以是基本类型int,String,HashMap和java自定义类型。 在SQL引用这些参数的时候,可以使用两种方式#{parameterName}或者${parameterName},    首先,我们说一下这两种引用参数时的区别,使用#{parameterName}引用参数的时候,
Mybatis的#和$的区别
热门推荐
qq_27811247的博客
06-22 4万+
在学校的时候,想必大家肯定听老师讲过,在mybatis,配置参数要用#,不要用$符号。因为$不安全,容易被sql注入。讲是这么讲,但是如何注入的,大家一起来看看吧。 一:下面我们写个关于“#”的个sql,看能不能注入。 <select id="selectUser" resultMap="BaseResultMap"> SELECT ...
MyBatis#和$区别
你只管努力,
11-25 255
1.#是占位符。 $是用来拼接字符,虽然也是占位但是做不了字符的转换。#自动转换 日常报标识符无效的异常 2.#直接获取属性名称 $首先去获取properties文件的属性名称,没有的话再去对象或者参数找。 3.#占位符 $拼接字符串,容易出现SQL注入。 为什么要引入$符号? 因为当数据库非常大的时候需要进行分库和分表, 数据量大的时候#无法处理 这时候就需要$来处理了。传...
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
经典重现丨面试题之MyBatis的#和$有什么区别?!
威哥爱编程,一个坚持研究技术的80后老鸟,擅长后端、AI 大模型、鸿蒙等技术体系,愿与你在技术路上一起成长!
07-15 628
MyBatis支持使用${}和#{}两种符号来进行动态SQL的拼接,可能有些人没有留意到,认为${}和#{}的作用是差不多的,其实这两者的功能虽然相似,但区别是比较大的!用过JDBC的小伙伴可能会知道,这就跟JDBC的PrepareStatement和Statement的区别是一样的,使用`#`就相当于使用PrepareStatement,而使用`$`就相当于使用Statement。大家知道,#在SQL语句的含义是注释,#后面的SQL内容是不执行的。...
11-Mybatismapper文件#和$的区别
前路无畏的博客
11-13 1万+
上一篇:10-Mybatis参数的使用之五–通过Map传值-了解-不建议用https://blog.csdn.net/fsjwin/article/details/109670536 mapper文件#和$的区别应该是面试过程容易问到的, 但对这个知识点的掌握也相对比较重要。 1.#占位符 前面我们用了这个占位符,比如: <!--Map传值--> <select id="selectStudentByMap" resultType="com.yuhl.domain.S
【Java面试】Mybatis#{}和${}的区别是什么?
跟着Mic学架构
05-31 677
一个工作2年的粉丝,被问到一个Mybatis里面的基础问题。 需要高手面试文档(附赠阿里内部十万字面试文档)的小伙伴可以扫描文章底部二维码 普通人: Mybatis里面#{}和${}的区别: ${}是一种可以动态替换的。 #{}是一种占位符。 高手: 好的,关于这个问题我从几个方面来回.
Mybatis整理系列(01)————传入参数方式以及#{}与${}的区别
javaloveiphone的专栏
08-18 1万+
一、在MyBatis的select、insert、update、delete这些元素都提到了parameterType这个属性。MyBatis现在可以使用的parameterType有基本数据类型和JAVA复杂数据类型 基本数据类型:包含int,String,Date等。通过#{参数名},只能传入一个参数;通过#{0}、#{1}……索引方式,可以传入多个参数;如果通过#{参数名}传多个值,又不想使
mybatis#和$在使用上有哪些区别
hefk688的博客
09-08 4178
mybatis#和$的区别是什么 1、传入的参数在SQL显示不同 #传入的参数在SQL显示为字符串(当成一个字符串),会对自动传入的数据加一个双引号。 例:使用以下SQL select id,name,age from student where id =#{id} 当我们传递的参数id为 "1" 时,上述 sql 的解析为: select id,name,age from student where id ="1" $传入的参数在SqL直接显示为传入的值 例:使用以下SQL select id,n
java面试题 Mybatis#和$的区别
樂小伍
10-16 1170
Mybatis#和$的区别 https://www.cnblogs.com/wslook/p/9185448.html #{}:占位符号,可以防止sql注入(替换结果会增加单引号‘’),相当于 ? 占位符 ${}:sql拼接符号(替换结果不会增加单引号‘’,like和order by后使用,存在sql注入问题,需手动代码过滤) 能使用 #{ } 的地方就用 #{ } 首先这是为了性能考虑...
myBatis/iBatis常见面试题:#和$的区别
小码农的博客
04-18 5398
区别 第一: #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是123,那么解析成sql时的值为order by “123”, 如果传入的值是id,则解析成的sql为order by “id”第二:将传入的数据直接显示生成在sql。如:orderby将传入的数据直接显示生成在sql。如:order by user_id$,如
Mybatis # 与$的区别
最新发布
09-23
### 回答1: Mybatis 是一个持久层框架,它可以将 Java 应用程序和数据库连接起来。它使用 XML 或注解来配置映射,并使用 SQL 动态语句来执行数据库操作。 Mybatis 可以通过简单的配置和映射文件来映射 Java 对象和数据库表之间的关系。 ### 回答2: Mybatis是一种Java持久化框架,它的主要目标是简化数据库访问的过程。与传统的JDBC相比,Mybatis提供了更简洁、灵活的方式来执行SQL语句并映射数据到Java对象Mybatis的核心思想是将SQL语句与Java代码进行分离,通过使用XML或注解来描述SQL语句的编写和映射规则。这样可以使得SQL语句的编写更加方便,并且避免了在Java代码编写大量的SQL语句。 在Mybatis,首先需要配置一个SqlSessionFactory对象,它用于创建SqlSession实例。SqlSession对象可以被看作是对数据库操作的一个会话,它提供了许多操作数据库的方法,如插入、更新、删除和查询等。 另外,在Mybatis还有一个重要的概念是Mapper接口。Mapper接口定义了一组与数据库操作相关的方法,它们对应了SQL语句的执行和数据的映射。Mapper接口的实现类由Mybatis框架自动生成,开发人员只需要编写接口定义即可使用。 Mybatis还提供了一些高级功能,如动态SQL和缓存机制。动态SQL允许在运行时根据条件来动态生成SQL语句,从而实现更灵活的查询。缓存机制可以在查询结果被缓存后,提高查询性能。 总的来说,Mybatis是一个简化数据库访问的框架,它通过将SQL语句与Java代码分离,提供了更方便、灵活的方式来执行数据库操作。它的配置简单,易于使用,并且提供了一些高级功能,使得开发人员可以更加方便地进行数据库操作。 ### 回答3: MyBatis 是一个开源的持久层框架,它是基于Java的ORM (Object Relational Mapping)框架。通过使用XML文件或注解方式,MyBatis 提供了一种将数据库的操作与 Java对象之间的映射关系进行配置的方法。在MyBatis,我们可以使用SQL语句进行数据库的增删改查操作。 MyBatis的主要特点有: 1. 简化了数据库交互过程:MyBatis通过提供了丰富的映射配置方式,使得开发者可以通过很简单的方式进行数据库的交互操作,减少了冗余的数据库交互代码。 2. 灵活的SQL控制:MyBatis允许开发者将动态SQL映射到数据库,通过使用if、choose、when等标签,开发者可以轻松地控制SQL的生成过程。 3. 易于集成:MyBatis可以与Spring等框架集成,方便开发者进行开发。与其他框架集成,可以享受到更多的功能扩展和便利性。 4. 性能优化:MyBatis通过缓存和连接池等机制,可以提升数据库访问的性能,减少了对数据库的频繁访问。 5. 支持多种数据库:MyBatis可以与各种主流数据库进行集成,包括MySQL、Oracle、SQLServer等,方便开发者进行数据库的操作。 总之,MyBatis是一个功能强大、易于使用的持久层框架,通过提供灵活的配置方式和强大的SQL控制能力,使得开发者可以方便地进行数据库的操作和优化,提升了开发效率和系统性能。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值