Mybatis中#号与$比较

最新推荐文章于 2022-03-01 18:20:09 发布
最新推荐文章于 2022-03-01 18:20:09 发布
阅读量484 收藏
点赞数 1
文章标签: sql 数据库 mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42672802/article/details/122398847
版权

在mybatis中,会将开发者定义的sql进行解析,解析分为了2类sql:

静态sql ,在解析时,直接将参数拼接到sql中,这种就是静态sql

动态sql,在解析时,会使用?这个占位符,替代参数

这两种解析方式,mybatis是根据${}和#{}进行区分的

${}的sql是静态sql

#{}的sql是动态sql

不论是静态sql,还是动态sql都能获取传递参数,但是${}是使用的字符拼接,#{}使用PreparedStatement进行参数的预处理。

在一定程度上说,${}能实现的功能,#{}都能实现,并且由于#{}PreparedStatement进行SQL的预处理,一定程度上可以防止SQL注入攻击。所以在开发中,能使用#{}尽量使用#{}。 PreparedStatement预处理的本质是将参数进行转换为字符串,当做参数字符串处理。所以,如果参数信息是一个特殊的关键字,例如: 数据库名,表名,函数名,内置关键字,使用预处理,则关键字转为了字符串,无效了,此时必须使用字符串拼接,使用${}。

 

 

青春~要拼搏
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解mybatis #{}和${}的区别、传参、基本语法
08-18
MyBatis是一个基于Java的持久层框架,它提供了一个强大的SQL映射机制,能够将Java对象与数据库表之间建立映射关系。在MyBatis,#{}和${}是两个非常重要的符,它们用于参数传递和SQL语句的构建。本文将详细介绍...
MyBatis SQL xml处理小于与大于正确的格式
01-19
这样的问题在iBatiS或者自定义的xml处理sql的程序经常需要我们来处理。其实很简单,我们只需作如下替换即可避免上述的错误: 原符  <  <=  >  >=  &  ‘  “ 替换符 < <= > >= & ' ...
浅谈Mybatis $与#的差异
hayhing的博客
08-20 346
1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'.  2 $是将传入的数据直接显示生成sql语句,eg:select id,name,age from student w...
Mybatis的#和$的区别
u011062735的博客
10-22 215
Mybatis的#和$的区别 在Mybatis的mapper,参数传递有2种方式,一种是#{}另一种是${},两者有很大区别; #{}实现的是sql语句的预处理参数,之后执行sql用?代替,使用时不需要关注数据类型,Mybatis自动实现数据类型的转换。并且可以防止sql注入。 ${}实现是sql语句的直接拼接,不过数据类型转换,需要自行判断数据类型。不能防止sql注入。 有些情况必须使用${},举个例子;在分表存储的情况下,我们从那张表查询是不确定的,也就是说sql语句不能写死,表名是动态的,查询
mybatis #与$有何区别
喝泉水的泉
12-19 359
先上结论 #和 $区别总结 #使用 ?在sql语句做占位的, 使用PreparedStatement执行sql效率高,能够避免sql注入,更安全。 #{}一般作为列的值使用,在等的右边,#{}位置的值和数据类型有关 $不使用占位符,是字符串连接方式,使用Statement对象执行sql效率低,有sql注入风险,缺乏安全性。 ${}数据是原样是用的,不区分数据类型,常用作表名或者列名 #占位符,告诉 mybatis 使用实际的参数值代替。并使用 PrepareStatement 对
MyBatis#{}和${}的区别
weixin_44455654的博客
12-09 993
#{} #{}是一种占位符的方式把参数部分用占位符?代替。 动态解析为: 解析前:select * from user where name = #{name} 解析后:select * from user where name = ‘姓名’ 而传入的参数将会经过PreparedStatement方法的强制类型检查和安全检查等处理,最后作为一个合法的字符串传入。 ${} ${}是一种字符串拼接的方式。 解析前:select * from user where name = ${name} 解析后:se
MyBatis#和$的区别
qq_31459039的博客
03-22 331
MyBatis/Ibatis#和$的区别 1、#{ }是预编译处理,MyBatis在处理#{ }时,它会将sql的#{ }替换为?,然后调用PreparedStatement的set方法来赋值, #{id,jdbcType=BIGINT} 可以指定类型转换 将传入的数据都都当成一个字符串 替换结果会增加单引‘’ 2、${ }是字符串替换, MyBatis在处理${ }时,它会将sql...
MyBatis#与美元符的区别
08-31
MyBatis框架,#和美元符($)在动态SQL的使用有着显著的区别,这些差异直接影响到SQL语句的预编译、类型匹配以及安全性。 首先,#{}是MyBatis的预编译占位符。当使用#{变量名}时,MyBatis会进行预编译处理...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈Mybatis #和$区别以及原理
08-18
在PreparedStatementHandler的query方法,我们可以看到,Mybatis已经将SQL语句的占位符替换成了实际的参数。 结论 Mybatis的#和$占位符都是用于参数化SQL语句的,但是它们的作用和处理机制不同。#可以防止...
mybatis #与$的区别
qq_40026782的博客
12-25 256
在之前我对mybatis的#与$的理解,就是#能够防止sql注入,而$是可能会产生sql注入的问题。也就是说#传入参数的时候会给我们的参数加上引,当参数传入。 但是由此的面试 有面试官问我他们的区别的时候我说了防sql注入,但是不全面。所以我请教了他。还有关于预编译的情况,对于#,虽然能够防止sql注入,但是它只是预编译,然后才会把数据插入sql语句,所以在安全要求不高、要求速度的情况下
细节决定成败 mybatissql#与$的区别详解
jcetpoor的博客
08-01 106
#与$的区别 #{}(接收普通参数,预编译,性能好,安全性高) $正好相反 ${} 只能获取的是传过来的对象的一个属性(拼接字符串) select * from product where id= 1 -> 危险:有SQL注入的问题 这种方式能 $能不用就不要使用 1.#{} #:即可以获取传过来的一个值,也可以获取传过来的对象的属性(占位) select * from product...
【Java面试高频问题】MyBatis相关(#{}和${}的区别、一二级缓存、自定义缓存、属性名和字段名不一致、分页)
Pluto.的博客
01-22 264
什么是MyBatisMyBatis是一流的持久性框架,支持自定义SQL,存储过程和高级映射。MyBatis消除了几乎所有的JDBC代码以及参数的手动设置和结果检索。MyBatis可以使用简单的XML或注释进行配置,并将图元,映射接口和Java POJO(普通的旧Java对象)映射到数据库记录。 #{}和${} #{} 使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement, sql语句如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入, 例: s
Mybatis$和#的区别
嘻哈熊的专栏
03-01 302
这是一次代码优化过程发现的问题,在功能优化后发现部分数据查不到出来了,问题就在于一条 sql 上的 #和 $。 下图为两条 sql: 从图上可以看出 wwlr.LabelId in(${showLabels}) 和 wwlr.LabelId in(#{showLabels}),其 showLabels 是传进来一个字符串类型的参数,参数的样子是这样的 “4,44,514”,问题就出在这个参数传进来后 #和 $ 处理的方式是不一样的。 区别 1、#{} 是预编译处理,MyBatis 在处理 #{} 时,
mybatis的$与#的区别以及模糊查询
怕什么真理无穷,进一寸有一寸的欢喜。即使开了一辆老掉牙的破车,只要在前行就好,偶尔吹点小风,这就是幸
12-22 560
使用预编译的数据库操作对象进行注入值的时候,列名是不能够被写入的。
mybatis的foreach条件参数过多时,#和$效率比较
xiaozhegaa的博客
01-22 2401
背景 最近对mybatis的in查询做优化时,看到一个有趣的方法,使用外部拼接好查询条件,然后用$符合,直接替代了mybatis内部foreach,特地在本地上做个评测 看到一篇文章,当foreach条件参数过多的时候,采用外部拼接的方式能提升mybatis,特地在本地做了个实验 条件 in 查询条件为1000个,去驱动数据表查询 环境准备 mysql语句 CREATE TABLE `workexperience` ( `id` int(11) NOT NULL AUTO_INCREMENT, `c
Mybatis的$要比#快很多
飞翔的肥仔
08-07 1832
我们写sql的时候,一般而言为了安全性都会用#,但是 由于$不用是相当于直接拼接,不需要像#需要首先解析成?然后再拼接,速度要快很多。在能够保证安全的情况下,可以试着用$ ...
工作发狂:Mybatis $和#千万不要乱用!
Java后端技术
05-08 830
点击上方“Java后端技术”,选择“置顶或者星标”你关注的就是我关心的!作者:程序猿的内心独白开头这是一次代码优化过程发现的问题,在功能优化后发现部分数据查不到出来了,...
MyBatis#{}和${}的区别详解 区别
热门推荐
wwwwww33的博客
07-01 4万+
区别 1.#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id". 2.将传入的数据直接显示生成在sql。如:orderby将传入的数据直接显示生成在sql。如:orderbyuser_id$,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sq
mybatis#和$的区别
最新发布
06-07
MyBatis,#和$都是用于替换SQL语句的占位符的符,但它们的处理方式不同。 #表示占位符,通过预编译的方式将传入的参数值进行安全的替换,防止SQL注入攻击,同时将参数值转换为对应的JDBC类型。例如: ``` SELECT * FROM user WHERE id = #{userId} ``` 在执行SQL时,#{userId}会被替换为一个?占位符,同时userId参数的值会被预编译并设置为PreparedStatement的参数值。 $则表示直接替换,将SQL语句的占位符替换为传入的参数值,并不进行预编译和JDBC类型转换。例如: ``` SELECT * FROM user WHERE id = ${userId} ``` 在执行SQL时,${userId}会被替换为实际的参数值,不会进行预编译和JDBC类型转换,如果参数值存在SQL注入攻击的风险,就会导致SQL注入攻击。 因此,一般情况下我们建议使用#进行参数替换,以保证SQL语句的安全性。但如果需要动态拼接SQL语句,或者需要使用一些特殊的SQL语法,可以使用$进行参数替换。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值