Mybatis 中 ${} 与 #{} 的区别

最新推荐文章于 2023-07-19 08:31:43 发布
最新推荐文章于 2023-07-19 08:31:43 发布
阅读量192 收藏
点赞数
分类专栏: mybatis 文章标签: Mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44245828/article/details/112320708
版权

两者都是sql 语句中指定变量名称的符号,基本使用相同,但是有一点细微的差别。

  • 章节1 为源码解释,章节2为测试,不想看源码的直接看结论

1. 解析 sql 语句的时机

  • 两者都是通过指定 openToken("#{" / “${”)、closeToken("}"),来遍历得到的 textSql,执行 parse() 解析
  • 获取指定的 expression(如 id),执行 handler.handleToken(expression.toString() 解析 expression,不同的实现类执行不同的操作。
/* 遍历先查找 openToken,再寻找 closeToken,若其中一项找不到结束遍历,都找到执行handleToken,然后继续遍历 */
public String parse(String text) {
  if (text == null || text.isEmpty()) {
    return "";
  }
  // search open token
  int start = text.indexOf(openToken);
  if (start == -1) {
    return text;
  }
  char[] src = text.toCharArray();
  int offset = 0;
  final StringBuilder builder = new StringBuilder();
  StringBuilder expression = null;
  while (start > -1) {
    if (start > 0 && src[start - 1] == '\\') {
      // this open token is escaped. remove the backslash and continue.
      builder.append(src, offset, start - offset - 1).append(openToken);
      offset = start + openToken.length();
    } else {
      // found open token. let's search close token.
      if (expression == null) {
        expression = new StringBuilder();
      } else {
        expression.setLength(0);
      }
      builder.append(src, offset, start - offset);
      offset = start + openToken.length();
      int end = text.indexOf(closeToken, offset);
      while (end > -1) {
        if (end > offset && src[end - 1] == '\\') {
          // this close token is escaped. remove the backslash and continue.
          expression.append(src, offset, end - offset - 1).append(closeToken);
          offset = end + closeToken.length();
          end = text.indexOf(closeToken, offset);
        } else {
          expression.append(src, offset, end - offset);
          break;
        }
      }
      if (end == -1) {
        // close token was not found.
        builder.append(src, start, src.length - start);
        offset = src.length;
      } else {
        builder.append(handler.handleToken(expression.toString()));
        offset = end + closeToken.length();
      }
    }
    start = text.indexOf(openToken, offset);
  }
  if (offset < src.length) {
    builder.append(src, offset, src.length - offset);
  }
  return builder.toString();
}
  • 明白了如何解析 sql 语句后,再来看 handleToken 二者实现的区别,先来看TokenHandler 接口,该接口有四个实现类
public interface TokenHandler {
  String handleToken(String content);
}

1.1 BindingTokenParser

  • 该类为 TextSqlNode 的静态内部类,这里只看相关的部分方法
  • 结合 parse() 可知,${} 是直接将获得的值添加进 sql 表达式,存在 sql注入 的风险
public class TextSqlNode implements SqlNode {
  private final String text;
  private final Pattern injectionFilter;
  /* 创建解析器,可看出是与 ${} 相关联的 */
  private GenericTokenParser createParser(TokenHandler handler) {
    return new GenericTokenParser("${", "}", handler);
  }
  
  private static class BindingTokenParser implements TokenHandler {
    private DynamicContext context;
    private Pattern injectionFilter;

    public BindingTokenParser(DynamicContext context, Pattern injectionFilter) {
      this.context = context;
      this.injectionFilter = injectionFilter;
    }
    /* 处理 ${id} 中 id 的方法 */
    @Override
    public String handleToken(String content) {
      /* 获取sql对应的方法的所有参数 */
      Object parameter = context.getBindings().get("_parameter");
      if (parameter == null) {
        context.getBindings().put("value", null);
      } else if (SimpleTypeRegistry.isSimpleType(parameter.getClass())) {
        /* 判断 parameter 是否为简单类型如 String.class */
        context.getBindings().put("value", parameter);
      }
      /* OGNL语法(我也不懂),暂且看作是获取 content 对应的值 */
      Object value = OgnlCache.getValue(content, context.getBindings());
      /* 找到返回 value 值,找不到返回 "" 而不是 null */
      String srtValue = value == null ? "" : String.valueOf(value); // issue #274 return "" instead of "null"
      checkInjection(srtValue);
      return srtValue;
    }
    private void checkInjection(String value) {
      if (injectionFilter != null && !injectionFilter.matcher(value).matches()) {
        throw new ScriptingException("Invalid input. Please conform to regex" + injectionFilter.pattern());
      }
    }
  }
}

1.2 DynamicCheckerTokenParser

  • 该类同样为 TextSqlNode 的静态内部类,直接设置为 动态 sql ,返回 null
private static class DynamicCheckerTokenParser implements TokenHandler {
  private boolean isDynamic;
  public DynamicCheckerTokenParser() {
    // Prevent Synthetic Access
  }
  public boolean isDynamic() {
    return isDynamic;
  }
  /* 直接设置当前 Parser 的 isDynamic 为 true,并返回 null */
  @Override
  public String handleToken(String content) {
    this.isDynamic = true;
    return null;
  }
}

1.3 VariableTokenHandler

  • 该类是 PropertyParser 的静态内部类,主要用于 xml 配置的属性解析 如 ${username}
public class PropertyParser {
    @Override
    public String handleToken(String content) {
      if (variables != null) {
        String key = content;
        if (enableDefaultValue) {
          final int separatorIndex = content.indexOf(defaultValueSeparator);
          String defaultValue = null;
          if (separatorIndex >= 0) {
            key = content.substring(0, separatorIndex);
            defaultValue = content.substring(separatorIndex + defaultValueSeparator.length());
          }
          if (defaultValue != null) {
            return variables.getProperty(key, defaultValue);
          }
        }
        if (variables.containsKey(key)) {
          return variables.getProperty(key);
        }
      }
      return "${" + content + "}";
    }
  }

}

1.4 小总结

  • BindingTokenParser 用于解析 ${id} 中的 id,替换为真正的值
  • DynamicCheckerTokenParser 如其名,动态检查,主要用于判断该 sql 语句是动态的还是静态的
  • VariableTokenHandler 用于解析 xml 配置中的变量,如数据库的 url、username 等。

1.5 ParameterMappingTokenHandler

  • 该类是 SqlSourceBuilder 的静态内部类
public class SqlSourceBuilder extends BaseBuilder {

  private static final String PARAMETER_PROPERTIES = "javaType,jdbcType,mode,numericScale,resultMap,typeHandler,jdbcTypeName";

  public SqlSourceBuilder(Configuration configuration) {
    super(configuration);
  }

  public SqlSource parse(String originalSql, Class<?> parameterType, Map<String, Object> additionalParameters) {
    ParameterMappingTokenHandler handler = new ParameterMappingTokenHandler(configuration, parameterType, additionalParameters);
    GenericTokenParser parser = new GenericTokenParser("#{", "}", handler);
    String sql = parser.parse(originalSql);
    return new StaticSqlSource(configuration, sql, handler.getParameterMappings());
  }

  private static class ParameterMappingTokenHandler extends BaseBuilder implements TokenHandler {

    private List<ParameterMapping> parameterMappings = new ArrayList<>();
    private Class<?> parameterType;
    private MetaObject metaParameters;

    /* 处理参数对应,并返回 "?" (回想sql语句执行,?就是一个占位符) */
    @Override
    public String handleToken(String content) {
      parameterMappings.add(buildParameterMapping(content));
      return "?";
    }

  }
}

2. 空口无凭,实践为王

  • Mybatis 数据库 user 表数据如下
    在这里插入图片描述

2.1 ${} 的测试结果

  • UserMapper.xml 配置如下
<?xml version="1.0" encoding="UTF8" ?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<!-- namespace=绑定一个对应的Dao/Mapper接口 -->

<mapper namespace="com.jack.dao.UserMapper">
    <!-- 查询操作 -->
    <select id="getUserByName" parameterType="String" resultType="com.jack.pojo.User">
        select * from mybatis.user where name like ${name}
    </select>
</mapper>
  • 测试类
public class UserMapperTest {
    @Test
    public void test() {
        SqlSession sqlSession = MybatisUtils.getSqlSession();
        UserMapper userMapper = sqlSession.getMapper(UserMapper.class);
        List<User> userByName = userMapper.getUserByName("'cerish01'");
        List<User> userByName01 = userMapper.getUserByName("'cerish01' or 1=1");
        if(userByName.size() == 0) {
            System.out.println("userByName 为 null");
        } else {
            for (User user : userByName) {
                System.out.println(user);
            }
        }

        System.out.println("========== 使用 ${} 被 sql 注入攻击 ==========");
        if(userByName01.size() == 0) {
            System.out.println("userByName 为 null");
        } else {
            for (User user : userByName01) {
                System.out.println(user);
            }
        }
        sqlSession.close();
    }
}

在这里插入图片描述

2.2 #{} 的测试结果

  • UserMapper.xml 配置如下
<?xml version="1.0" encoding="UTF8" ?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<!-- namespace=绑定一个对应的Dao/Mapper接口 -->

<mapper namespace="com.jack.dao.UserMapper">
    <!-- 查询操作 -->
    <select id="getUserByName" parameterType="String" resultType="com.jack.pojo.User">
        select * from mybatis.user where name like ${name}
    </select>
</mapper>
  • 测试类
public class UserMapperTest {
    @Test
    public void test01() {
        SqlSession sqlSession = MybatisUtils.getSqlSession();
        UserMapper userMapper = sqlSession.getMapper(UserMapper.class);
        List<User> userByName = userMapper.getUserByName("cerish01");
        List<User> userByName01 = userMapper.getUserByName("cerish01 or 1=1");
        if(userByName.size() == 0) {
            System.out.println("userByName 为 null");
        } else {
            for (User user : userByName) {
                System.out.println(user);
            }
        }

        System.out.println("========== 使用 #{} 防止被 sql 注入攻击 ==========");
        if(userByName01.size() == 0) {
            System.out.println("userByName 为 null");
        } else {
            for (User user : userByName01) {
                System.out.println(user);
            }
        }
        sqlSession.close();
    }
}
  • 大功告成,测试完毕
    在这里插入图片描述

2.3 为什么还要使用 ${} ?

  • 来看一个简单例子,select * from #{tableName},解析后的结果为 select * from 'user',明显不符合我们想要的结果。
  • 若换成 select * from ${tableName},解析后的结果为 select * from user,这就符合我们想要的结果了。
  • 类似 group by、order by 这种不想在变量处加引号的值,则还需要使用 ${} 。即两者缺一不可。
cerish404
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
浅谈mybatis的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Mybatis#{}和${}源码解析
qq_35219329的博客
07-07 845
目录 前言 一、初步解析 1.getBoundSql 2.parse 3.handleToken 二、parameterMappings解析 1.setParameters 2.防止sql注入 总结 前言 使用#能防止sql注入,这是一个共识,但是为什么#能够做到,却很难说的清。本文主要分析#{}和${}的解析过程,从源码层次上解释#防止sql注入的原因。 一、初步解析 1.getBoundSql 在CachingExecutor的query方法,...
Mybatis的源码解析之处理占位符相关的类TokenHandler和GenericTokenParser
Swing_wingS的博客
03-27 1332
前言 Mybatis在处理${}和#{}占位符时,底层使用到了GenericTokenParser类和TokenHandler的实现类。它的实现原理及其简单。 GenericTokenParser package org.apache.ibatis.parsing; /** * 通用属性解析器 用于解析占位符标签 */ public class GenericTokenParser { /** * 占位符开始标志 */ private final Str
Mybatis动态元素if使用
7me
07-22 1691
Mybatis动态元素if遇到0时出现问题
mybatis#和$在使用上有哪些区别
hefk688的博客
09-08 4151
mybatis#和$的区别是什么 1、传入的参数在SQL显示不同 #传入的参数在SQL显示为字符串(当成一个字符串),会对自动传入的数据加一个双引号。 例:使用以下SQL select id,name,age from student where id =#{id} 当我们传递的参数id为 "1" 时,上述 sql 的解析为: select id,name,age from student where id ="1" $传入的参数在SqL直接显示为传入的值 例:使用以下SQL select id,n
MyBatis-$&#的区别
其实我也没有太多期盼,毕竟一生太短,少有圆满
02-27 1211
动态sql是mybatis的主要特性,在mapper定义的参数传到xml之后,在查询之前mybatis会对其进行动态解析,mybatis支持两种动态sql语法:#{ }以及${ } #是将传入拉丝的值当做字符串形式 $是将传入的数据直接显示生成sql语句 #可以防止sql注入, #{ }:解析一个jdbc预编译语句的参数标记,一个#{ } 被解析为一个参数占位符。 ${ } : 仅仅作为一纯粹...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Java Mybatis的 ${ } 和 #{ }的区别使用详解
08-18
Java Mybatis的 ${ } 和 #{ } 的区别使用详解 Java Mybatis 的 ${ } 和 #{ } 是两个不同的占位符,都是用于在 Mybatis 进行动态 SQL 语句的构建和参数传递。然而,这两个占位符在使用时有着极其重要的区别。 ...
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
MyBatis使用$和#所遇到的问题及解决办法
09-01
1. #{}与${}的区别: - #{ }:这是MyBatis的预编译参数标记,它会将参数转化为PreparedStatement的参数占位符,类似于Java的`?`。当MyBatis遇到`#{ }`时,它会将参数值转化为PreparedStatement的参数,这样...
MyBatis#{}和${}的区别详解 区别
热门推荐
wwwwww33的博客
07-01 4万+
区别 1.#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id". 2.将传入的数据直接显示生成在sql。如:orderby将传入的数据直接显示生成在sql。如:orderbyuser_id$,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sq
一文解惑mybatis的#{}和${}
最新发布
一个菜鸡的博客
07-19 4541
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
MyBatis #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1199
1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
flutter 登录和退出登录_flutter-登录token本地存储(shared_preferences)、路由拦截
weixin_33568172的博客
12-28 3856
登录token的处理,数据本地存储,路由拦截登录逻辑添加token登录成功,保存token到本地,转跳到首页,移除其他栈,防止返回回到登录页面移除token未登录 路由拦截找不到token,转跳到登录页面或者弹窗token过期,后台返回token,api拦截,移除token,转跳到登录页面退出登录移除token,转跳到登录页面,移除前面所有路由栈本地存储flutter暂时没有内置本地存储,官方推荐...
MyBatis——谈谈占位符(#、$)的理解与使用
胜天半子祁同伟
03-02 2万+
MyBatis——谈谈占位符(#、$)的理解与使用
mybatis#{}和${}的区别
Zhangsama1的博客
08-27 4657
​1:尽量使用#{},只要能使用#{}解决,尽量使用#{}​2:表名作为参数,使用order by排序的时候使用${}3:多参数的时候尽量使用@Param注解,@Param注解作用为给参数命名,命名后即可根据名字得到对应的参数值​。...
Mybatis-占位符#{}和${}的使用说明
m0_37965811的博客
05-31 2298
1、占位符 #{}是占位符,${}是拼接符。 #{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”. ${}将传入的数据直接显示生成在sql。如:order by ${user_id},如果传入的值是111,那么解析成sql时的值为order by 111, 如果传入的值是id,则解析成的sql为orde
MyBatis模糊查询 -- #{} & ${}之间的区别
weixin_43708793的博客
04-02 581
1、MyBatis模糊查询实现: 1.1、#{} 方式的模糊查询持久层: <select id="queryUserInfoByUserName" parameterType="String" resultType="Model.UserCRUDModel"> <!-- 使用#{} 模糊查询 --> select * from user wh...
Mybatis的${}和#{}区别
web18484626332的博客
08-02 8713
动态sql是mybatis的主要特性之一,在mapper定义的参数传到xml之后,在查询之前,mybatis会对其进行动态解析。mybatis为我们提供了两种支持动态sql的语法#{}以及${}提示以下是本篇文章正文内容,下面案例可供参考。...
Mybatis$与#的区别, $的应用场景
04-23
#的区别是什么? Mybatis$和#都用于动态SQL语句的参数绑定,但它们之间有几个区别: 1. #用于预编译,$用于值传递。#会将参数放入预编译语句的占位符,可以避免SQL注入,但会使SQL语句无法重用;$将参数直接拼接进SQL,可以重用SQL语句,但有SQL注入的风险。 2. #可以自动进行类型转换,$不能自动转换。#会根据目标类型自动转换参数类型,$需要手动进行类型转换。 3. #可以在SQL使用占位符,$不能使用。#可以在SQL语句使用占位符进行模糊查询等操作,$只能直接拼接参数值。 因此,在使用Mybatis时,应根据具体的业务场景和需求选择使用#或$。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值