SQL中 # 与 $ 的不同

最新推荐文章于 2022-11-06 16:04:04 发布
最新推荐文章于 2022-11-06 16:04:04 发布
阅读量1.3k 收藏 10
点赞数 1
分类专栏: SQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42966484/article/details/86483159
版权

区别:
(1)#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如: #{id},如果传入的值是id,则解析成的sql为"id"。
(2)$将传入的数据直接显示生成在sql中。如:${id},如果传入的值是id,则解析成的sql为id。
(3)#方式在很大程度上能够防止sql注入。
(4)$方式无法防止sql注入。
(5)$方式一般用于传入数据库对象,例如传入表名。(这里得注意SQL注入问题)
(6)一般能用#的就别用$。
ps:在使用mybatis中还遇到<![CDATA[]]>的用法,在该符号内的语句,将不会被当成字符串来处理,而是直接当成sql语句,比如要执行一个存储过程。

总结区别:#{} 传入值时,sql解析时,参数是带引号的,而${}传入值,sql解析时,参数是不带引号的。

举个例子:
select * from ${tableName} where XX = #{XX}
在这个例子中,如果表名为
   hsics.abcd --
  则动态解析之后 sql 如下:
select * from hsics.abcd-- where name = ?;
–之后的语句被注释掉。
但是表名用参数传递进来的时候,只能使用 ${} 。这也提醒在这种用法中要小心sql注入的问题。

防止SQL注入方法

最低0.47元/天 解锁文章
归小超
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis下动态sql##$$的区别讲解
08-26
在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同SQL语句。在Mybatis,使用Mapper.xml文件来定义SQL语句,并使用#{ }和${ }来传递参数。那么,在Mybatis下动态sql##$$的区别是什么呢? ...
返回自增id的id值 #{} 和${}的区别 sql语句的比较运算符
weixin_52296931的博客
03-01 805
返回自增id的id值 新增用户的是偶我们都是通过主键自增来完成的,所以不知道怎么查看增加的id值,我们可以喜阳光sql语句来完成返回邢增id值得操作 直接在接口对应的xml文件下面写代码,在mapper 里面 <!--添加用户信息--> <insert id="addUser" parameterType="user" > <!--使用内部的标签selectKey 获取新增用户的id值 resultType 返回值类型指定为int
mybatis # 号和 $ 符的区别
Do Re Mi 的博客
11-22 2072
mybatis#号和$符的区别? 区别 1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'. 使用#可以很大程度上防止sql注入。(语句的拼接) , 为什么#可以防止sql注...
select * from table where id=#{id}id和#{id}是什么意思?
HeZhibro的博客
09-30 1万+
1、id是数据库表的字段 2、#{id}是你程序获取的一个参数,例如:#{id}为12 这样就形成了你最终的 SQL语句 select * from userinfo where id=12
MyBatis学习:动态SQL
sssxlxwbwz的博客
02-09 1246
MyBatis 的强大特性之一便是它的动态SQL。 一、if用法: if 标签通常用于WHERE语句,通过判断参数值来决定是否使用某个查询条件,它也经常用于UPDATE语句判断是否更新某一个字段, 还可以在INSERT 语句用来判断是否插入某个字段的值。 1.1 WHERE条件使用IF 假设现在有一个需求: 实现一个用户管理高级查询功能,根据输入的条件去检索用户信息。这个功能还需要支持以下三种情况: 当只输入用户名时,需要根据用户名进行模糊查询;当只输入邮箱时...
day02 mybatis
Libra_97的博客
11-06 409
mybatis
Mabitis#$符号区别及用法介绍
08-31
在MyBatis,`#`和`$`符号在SQL动态语句扮演着不同角色,它们的主要区别和用法如下: 一、`#`与`$`的区别 1. `#{}`:MyBatis将`#{}`视为PreparedStatement的参数标记符。当SQL语句的`#{}`被解析时,它会被...
浅谈Mybatis #$区别以及原理
08-18
Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #$的区别 在Mybatis#$都是占位符,但是它们...
浅谈mybatis#$的区别 以及防止sql注入的方法
09-01
在MyBatis,`#`和`$`在动态SQL的使用有着明显的区别,它们在处理传入数据的方式上有所不同,同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
Mybatis#{}和${}传参的区别及#$的区别小结
09-02
在MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
###id# 数据库xml文件##的理解
Grace_1203的博客
08-10 466
<delete id="delete" parameterClass="java.util.HashMap"> delete from ppm_filter_view where guid = #GUID# </delete> #GUID#是获取当前系统执行到的GUID 栗子: select * from "+USERTABLE+" where ...
#{}和${}的区别,#{}防止sql注入
nutnutnutnutnut的博客
01-14 658
一、当我向mybatis输入一条带有#{}的语句时: select * from user where uid=#{id} and password=#{pwd}; 这时数据库就会进行预编译,并进行一个缓存动作,缓存一条这样的语句: select * from user where uid=? and password=?; 当我们调用这条语句,并实际向#{id}的id传了一个值 “uuu” or 1=1# 时,不需要在编译,数据库会直接找对应的表有没有名字是 “uuu” or 1=1# 的用户,而不再
#{}与${}的区别
热门推荐
weixin_44863976的博客
09-08 1万+
#{}与${}的区别 区别 1. #{} 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符;而${}仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。 2. #{} 解析之后会将String类型的数据自动加上引号,其他数据类型不会;而${} 解析之后是什么就是什么,他不会当做字符串处理。 3...
Mybatis防止SQL注入---mybatis#$的区别------#{id}与${id}
money-k的博客
05-09 511
Mybatis#$的区别: 1、# 通过日志查看: 因为MyBatis启用了预编译功能,在SQL执行前,会先将上面的SQL发送给数据库进行编译;执行时,直接使用编译好的SQL,替换占位符“?”就可以了。因为SQL注入只能对编译过程起作用,所以这样的方式就很好地避免了SQL注入的问题。 2、$ 通过日志查看: 在MyBatis,“${id}”这样格式的参数会直接参与SQL编译,从而不能避免注入攻击。但涉及到动态表名和列名时,只能使用“${id}”这样的参数格式。所以,这样的参数需要我们在代码手工
#{}和${}的区别是什么
m0_51740882的博客
05-31 418
#{}和${}的区别是什么?
Mybatis 源码探究 (4) 将sql 语句#{id} 替换成 ‘?
07-15 872
Mybatis 源码探究 (4) 将sql 语句#{id} 替换成 '? 出于好奇,然后就有了这篇文章啦。 源码给我的感觉,是一座大山的感觉。曲曲折折的路很多,点进去就有可能出不来。 不过慢慢看下来,收货是有的,对一些理解更为深刻了,而且越来越觉得数据结构是真的真的重要,底层的类,就没有不用到数据结构的。 传进来的参数text是 select t_user.id,t_user.username,t_user.password from t_user where t_user.id=#{id} 这里需
mybatis入门学习(四)-#{}与${}取值符号的区别及详细概括
weixin_43520586的博客
06-20 473
#{}与${}取值符号的区别 示例一: 如下所示,若传入参数 id=1 则: select * from person where id = #{id} 传入参数后可以看成 select * from person where id =‘1’; select * from person where id = ${value} 传入参数后可以看成 select * from person where id = 1; 所以 #{id}: 所带的参数自动加上单引号 ${id}: 所带的参数无单引号 <sel
mybatis#$
最新发布
05-16
在 MyBatis #$ 符号都用于参数占位符,但它们的使用方式略有不同#符号表示参数占位符,例如: ``` select * from user where id = #{id} ``` 在上面的示例#id# 将被替换为传递给 SQL 查询的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值