MyBatis-#{}和${}的区别

最新推荐文章于 2023-07-19 08:31:43 发布
最新推荐文章于 2023-07-19 08:31:43 发布
阅读量167 收藏
点赞数
分类专栏: # mybatis 文章标签: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43472934/article/details/107808821
版权

OGNL语言
在MyBatis框架中支持两种 OGNL语法

#{}

${}

第一种情况对比:添加数据

#{}

--UserMapper.java 
	@Insert("insert into user(username,password,age) values(#{username},#{password},#{age})")
	@Options(useGeneratedKeys = true,keyColumn = "id",keyProperty = "id")
	int insertUserInfo(User user);

–测试代码

	@Test
	public void testInsertUserInfo() {
		// 1.创建SqlSession操作对象
		SqlSession session = MyBatisUtil.openSession();

		// 2.创建UserMapper接口的代理对象
		UserMapper userMapper = session.getMapper(UserMapper.class);

		// 3.创建用户对象
		User user = new User(null, "xxx", "xxx", 30);
		
		System.out.println("新增前:"+user);

		// 4.执行UserMapper的插入操作
		userMapper.insertUserInfo(user);
		System.out.println("新增后:"+user);
		// 5.提交事务
		session.commit();
		// 6.关闭session
		session.close();
	}

–结果图

在这里插入图片描述

${}

–UserMapper.java

	@Insert("insert into user(username,password,age) values(${username},${password},${age})")
	@Options(useGeneratedKeys = true,keyColumn = "id",keyProperty = "id")
	int insertUserInfo(User user);

–测试代码

	@Test
	public void testInsertUserInfo() {
		// 1.创建SqlSession操作对象
		SqlSession session = MyBatisUtil.openSession();

		// 2.创建UserMapper接口的代理对象
		UserMapper userMapper = session.getMapper(UserMapper.class);

		// 3.创建用户对象
		User user = new User(null, "wa", "wa", 30);
		
		System.out.println("新增前:"+user);

		// 4.执行UserMapper的插入操作
		userMapper.insertUserInfo(user);
		System.out.println("新增后:"+user);

		// 5.提交事务
		session.commit();

		// 6.关闭session
		session.close();

	}

–结果图

在这里插入图片描述

我们会发现${}是直接将wa带入sql语句里,由于字符串列缺少’'单引号,从而报错

–修改

在这里插入图片描述

第二种情况对比:单个查询时

#{}

--UserMapper.java 
	@Select("select * from user where id=#{1}")
	User selectByPrimaryKey(Integer id);

–测试代码

	@Test
	public void testSelectByPrimaryKey() {
		// 1.创建SqlSession操作对象
		SqlSession session = MyBatisUtil.openSession();
		// 2.创建UserMapper接口的代理对象
		UserMapper userMapper = session.getMapper(UserMapper.class);
		// 3.执行UserMapper的查询操作
		User user = userMapper.selectByPrimaryKey(3);
		System.out.println(user);
		// 4.关闭session
		session.close();
	}

–结果图

在这里插入图片描述

${}

在这里插入图片描述

我们发现单个参数不是对象时,他会报错,是因为他将${id}的id作为查询的值来查询,但查询的是int类型,而id这个值是字符串类型,因此报错。

–第一种方法解决方案:${数值/String值}

在这里插入图片描述

我们会发现测试代码的传的是3,打印结果是1,是因为此时取的${1}里的值。

–第二种方法解决方案:使用${value}

在这里插入图片描述

–第三种方法解决:使用@Param

在这里插入图片描述

第三种情况对比:DDL:表结构的增删改查

#{}

--UserMapper.java 
@Delete("drop table #{tableName}")
void dropTable(@Param("tableName") String tableName);

–测试代码

	@Test
	public void testDropTable() {
		// 1.创建SqlSession操作对象
		SqlSession session = MyBatisUtil.openSession();
		// 2.创建UserMapper接口的代理对象
		UserMapper userMapper = session.getMapper(UserMapper.class);
		// 3.执行UserMapper的删除表操作
		userMapper.dropTable("te");
		// 4.关闭session
		session.close();
	}

–结果图

在这里插入图片描述

只有DQL(查询),DML(增删改)支持预编译语法,就是有?。DDL不支持预编译语法.

${}

在这里插入图片描述

总结

#{}基于JDBC的PreparedStatement类,SQL语句参数使用 ?占位符,在运行阶段动态设置参数,但是 ?不能作为表名. 预编译语句对象的SQL语句只能 操作 DML和DQL 语句,不能操作DDL语句

1.#{}表示设置预编译的参数,就是?的参数,所以如果要不固定的表名不能使用#{},只能使用${}

2.KaTeX parse error: Expected 'EOF', got '#' at position 27: …接把参数拼接到SQL语句中.而#̲{}是使用?来代替. 所以{}是不安全的.
3.KaTeX parse error: Expected 'EOF', got '#' at position 14: {}只能获得参数池的值,而#̲{}可以获得方法的参数值,也可…{}获得参数的值,这个参数必须要加上@Param
如果非必要情况,不要使用${}

问题:那么${}有什么用呢?

答:注意基于JDBC的接口的原来的表名是不可以使用?的,?只能用于传入的参数。
如果操作的涉及表名这些非参数的 数据时,需要使用${}

搞钱自律
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iBatis 和 MyBatis的写法区别
蓝沐的博客
08-02 5107
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射,它是iBatis的后序版本。下面了解一下他们的异同:相同点: 1、都是持久化框架,属于apache下的项目,MyBatis是iBatis的改进版。 2、都封装了jdbc的代码,不用程序员再写注册驱动,获取connect连接等代码 3、都需要配置两类文件,1、配置数据源,事务等信息的全局配置文件;2、用于指定数据库表...
IBatis与MyBatis区别
Mr.xing的博客
03-13 608
在sql优化上,mybatis要比hibernate方便一些,由于mybatis的sql都是写在xml里,因此优化sql比hibernate方便很多。hibernate虽然也支持原生sql,但开发模式上却与orm不同,需要转换思维,因此使用上不是非常方便。hibernate通过它强大的映射结构和hql语言,大大降低了对象与不同数据库(oracle、MySQL等)的耦合性,而mybatis由于需要手写sql,因此sql中很容易包含一些不同的数据库不兼容的函数或者语法,移植性也会随之降低很多,成本很高.
MyBatis 中 #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1213
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS中 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
一文解惑mybatis中的#{}和${}
一个菜鸡的博客
07-19 4718
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
mybatis中的#{}和${}
submorino的专栏
11-25 2401
mybatis中的#{}和${} 1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1)   1)#{}为参数占位符?,即sql 预编译   2)${}为字符串替换,即sql 拼接 (2)   1)#{}:动态解析 ->预编译-> 执行   2)${}:动态解析 ->编译-> 执行 (3)   1)#{}的变量替换是在DBMS中   2)${}...
Mybatis中的${}和#{}区别
m0_62520968的博客
05-10 1402
一、${}与#{}的区别 1、符号类型 (1)#{}:参数占位符,即预编译 (2)${} :字符串替换符,即SQL拼接 2、防注入问题 (1)#{}:很大程度上能防止sql 注入 (2)${}:不能防止sql 注入 3、参数替换位置 DBMS:数据库管理系统(Database Management System)是一种操纵和管理数据库的大型软件,是用于建立、使用和维护数据库,简称DBMS。它对数据库进行统一的管理和控制,以保证数据库的安全性和完整性。用户通过DBMS访问数据库中的数据,数据库管理员也通
彻底搞懂MyBatis中${}和#{}
qq_63815371的博客
01-12 1167
目录 一、搭建模拟场景 二、SQL注入问题 三、#{}和${}的区别 四、#{}底层是如何防止SQL注入的? 五、那么问题来了:什么时候用#{},什么时候用${}呢? 一、搭建模拟场景 数据库数据 DAO接口 Mapper.xml 执行测试代码 package com.luck.bookstore.ware; import ... @RunWith(SpringRunner.class) @SpringBootTest public class Bo
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$区别 在...
浅谈mybatis中的#和$区别
09-02
在MyBatis中,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis-Plus和Mybatis的区别详解
09-07
Mybatis和Mybatis-Plus是两个在Java开发中广泛使用的持久层框架,它们都致力于简化数据库操作。Mybatis-Plus是对Mybatis的扩展和增强,提供了更多的便利功能,旨在进一步提高开发效率。 **Mybatis** 是一个轻量级的...
Mybatis中#{}和${}传参的区别及#和$区别小结
09-02
在MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
mybatis面试题#和$区别.pdf
04-24
mybatis面试题#和$区别.pdf
mybatis中#{}和${}的区别
Zhangsama1的博客
08-27 4666
​1:尽量使用#{},只要能使用#{}解决,尽量使用#{}​2:表名作为参数,使用order by排序的时候使用${}3:多参数的时候尽量使用@Param注解,@Param注解作用为给参数命名,命名后即可根据名字得到对应的参数值​。...
Mybatis常问:#{}与${}的区别
zjjcchina的博客
06-06 2084
查询到数据才可以是登录成功,否则表示登陆失败,但是会有这么一种情况,我们的SQL语句是由我们拼接的,如果用户故意输入可以让后台解析失败的字符串,这就是SQL注入,例如我们输入密码,输入 '''' ' or 1=1'' 这样,他会在后台进行拼接成select count(1) from table where username = 'username' and password = '' or 1=1;由结果可以看出,我们在没有密码的情况下依旧获取到了数据库的私密信息,由此可见${}存在很大的安全隐患。
MyBatis中${} 和 #{} 有什么区别
分享Java技术知识,共同成长进步!
09-14 5648
${} 和 #{} 都是 MyBatis 中用来替换参数的,它们都可以将用户传递过来的参数,替换到 MyBatis 最终生成的 SQL 中,但它们区别却是很大的,接下来我们一起来看。 1.功能不同 ${} 是将参数直接替换到 SQL 中,比如以下代码: 最终生成的执行 SQL 如下: 从上图可以看出,之前的参数 ${id} 被直接替换成具体的参数值 1 了。 而 #{} 则是使用占位符的方式,用预处理的方式来执行业务,我们将上面的案例改造为 #{} 的形式,实现代码如下: 最终生成的 S
Mybatis中${}和#{}的区别
m0_53773432的博客
10-21 57
{}会识别数据类型,再进行赋值。一般用于字段值的占位,例如where子句${}直接进行拼接。一般用于字段名或表名的占位,因为这两个没有数据类型。
Mybatis中#{}和${}的区别
Lqf111的博客
10-06 547
1,#{}是占位符,预编译处理;${}是拼接符,单纯的字符串替换,没有预编译处理。 2,Mybatis在处理#{}时,#{}传入参数是以字符串传入,会将SQL中的#{}替换为?,调用PreparedStatement的set方法来赋值。 3,Mybatis在处理${}时是原值传入的,就是把{}中的内容替换成变量的值,相当于JDBC中的Statement编译。 4,变量替换后,#{}对应的变量会自动加上单引号;${}对应的变量不会加上单引号。 5,#{}可以有效的防止SQL注入,提高系统的安全性。
Mybatis中#{}和${}的区别是什么?
whitek387的博客
07-30 1208
原文链接,讲的很细!!!!! 动态 sql 是 MyBatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 MyBatis 会对其进行动态解析。MyBatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 面试题:#{}和KaTeX parse error: Expected 'EOF', got '#' at position 13: {}的区别是什么? 1)#̲{}是预编译处理, {}是字符串替换。 2)MyBatis在处理#{}时,会将SQL中的
大学物理-章节PPT!
最新发布
07-22
大学物理-章节PPT!
mybatis中#和$区别
06-07
在MyBatis中,#和$都是用于替换SQL语句中的占位符的符号,但它们的处理方式不同。 #号表示占位符,通过预编译的方式将传入的参数值进行安全的替换,防止SQL注入攻击,同时将参数值转换为对应的JDBC类型。例如: ``...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值