【mybatis】“#{} 和 ${}” 以及 “为什么#{}更安全?”

已于 2024-05-24 23:49:14 修改
阅读量195 收藏
点赞数 1
文章标签: mybatis sql
于 2024-05-24 23:48:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44357602/article/details/139186826
版权

#{} 和 ${}

  • #{ key } == ? :占位符 + 赋值(⚠️ 推荐使用 !!!)
<!-- 过程 -->
1️⃣ emp_id = ? 2️⃣ ? = 赋值
  • ${ key } == + :字符串拼接(通常不会采用${}的方式传值)
<!-- 过程 -->
"emp_id =" + id

结论:

  1. 实际开发中,能用 #{} 实现的,肯定不用 ${}。

  2. **除非特殊情况: 动态的不是值,是列名或者关键字,需要使用 ${} 拼接。**因为:通过 Java 程序动态生成数据库表,表名部分需要 Java 程序通过参数传入;而 JDBC 对于表名部分是不能使用问号占位符的,此时只能使用 ${}

//注解方式传入参数!!
@Select("select * from user where ${column} = #{value}")
User findByColumn(@Param("column") String column, @Param("value") String value);

  • ⚠️ 为什么 #{} 更安全?

    1. 参数化处理

      ​ #{} 会将参数传递给数据库驱动程序,驱动程序负责将参数安全地嵌入SQL语句中。这意味着参数值不会被当作SQL代码执行。

    2. 避免SQL注入

      ​ 因为参数值是以参数形式传递的,数据库驱动程序不会将其解释为SQL代码,只会将其视为普通数据。

BOYAN_博言
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MyBatis中的${}和#{}
小景的博客
06-28 594
${}、#{}的使用举例: 后端Controller @RequestMapping(value = "/getStatisticsData", method = RequestMethod.GET, produces = "application/json;charset=utf8") public List<SearchResult> getStatisticsData(Long startTime, Long endTime, String argu) { Lis...
Mybatis中的#{}与${}
Xin6Yang的博客
05-11 249
Mybatis中的#{}与${} MyBatis映射配置文件中,动态传递参数两种方式: #{}:占位符 ${}:拼接符 区别 #{}为参数占位符?,即sql预编译;${}为字符串替换,即sql拼接。 #{}:动态解析->预编译->执行;${}:动态解析->编译->执行。 #{}的变量替换是在DBMS中;${}的变量替换是在DBMS外。 变量替换后,#{}对应的变量自动加上单引号’’;变量替换后,${}对应的变量不会加上单引号’’。 #{}能防止sql注入;${}不能防止sq
Mybatis中#和$的区别
热门推荐
伏颜的博客
07-11 1万+
Mybatis中#和$的区别
mybatis中#和$的区别
weixin_64922330的博客
08-14 501
简单介绍mybatis中#和$的区别
mybatis - 取值符号:# 和 $的区别
pig_ning的博客
04-25 691
mybatis - 取值符号:# 和 $的区别
浅谈mybatis中的#和$的区别
09-02
MyBatis中,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Mybatis下动态sql中##和$$的区别讲解
08-26
那么,在Mybatis下动态sql中##和$$的区别是什么呢? 首先,我们需要了解的是,Mybatis在对SQL语句进行预编译之前,会对SQL语句进行动态解析,解析为一个BoundSql对象。在动态SQL解析阶段,#{ }和${ }会有不同的表现...
MyBatis中#{}和${}的区别详解
09-01
MyBatis框架中,`#{}`和`${}`是两种不同的占位符...理解这两个占位符的差异可以帮助我们编写出安全高效的MyBatis代码,同时减少潜在的安全风险。在实际开发中,应优先考虑使用`#{}`,并在必要时谨慎使用`${}`。
Java Mybatis中的 ${ } 和 #{ }的区别使用详解
08-18
Java Mybatis中的 ${ } 和 #{ } 的区别使用详解 Java Mybatis 中的 ${ } 和 #{ } 是两个不同的占位符,都是用于在 ...因此,在使用 Mybatis 时,我们应该尽量使用 #{ } 占位符,以防止 SQL 注入和确保数据库的安全
SQL 时间盲注 (injection 第十六关)
baishiqi12的博客
08-20 524
SQL 注入,仅供参考
PostgreSQL案例:planning time超长问题分析
liuzhilong的博客
08-21 952
库总是OOM,分析到是执行计划生成有问题,planning time 1秒,planning shared hit 100w。一通分析,定位到是统计信息基表pg_statistic膨胀,由于会话首次SQL执行时的CatCacheMiss,导致backend访问并缓存了pg_statistic过多的死元组数据。应用连接总会启用新会话,多个backend的总内存过大从而导致OOM。
SQL-DCL-数据控制语言
DEVIL_hym的博客
08-23 178
一、 DCL-管理用户。二、DCL-权限控制。
出现Property ‘sqlSessionFactory‘ or ‘sqlSessionTemplate‘ are requiredProperty报错
m0_74436895的博客
08-23 692
SpringBootApplication,它组合了@Configuration, @EnableAutoConfiguration, 和 @ComponentScan注解的功能。我在使用一个验证码生成的工具asy-captcha库的验证码接口遇到javax.script.ScriptEngine.eval调用失败的问题,因为engine为null。1.启动类 里配置的 (@MapperScan(“com.example.demo.dao.mapper”)),这里开始配置错了。n若有添加,尝试删除。
SQLserver在SQL Server Management Studio 20中的默认值和设置主键自增
愿你历尽千帆,归来仍是少年。
08-20 904
你可以创建一个默认约束,为列提供一个用户定义的默认值。
mysql创建quartz定时任务相关表sql
xiexf20230814的博客
08-20 549
-存储Cron触发器的cron表达式和其他信息。--接下来,创建索引以提高性能;--存储简单触发器的额外属性。--存储复杂触发器的简单属性。--存储触发器的blob数据。--存储已触发的触发器信息。--存储调度器的状态信息。--存储暂停的触发器组。--存储触发器信息。
HeidiSQL中一些简单mysql语句的含义(一)
2201_75345199的博客
08-23 478
创建一个数据库,这个是数据库的名字叫java62#删除数据库java62#查看当前mysql里的所有数据库#创建student表,varchar括号里的是字符串的长度#查看当前数据库里有哪些表#删除student表。
PostgreSQL 内核资源管理
最新发布
分享关于Java编程、数据库管理和信息安全方面的最佳实践
08-23 984
PostgreSQL 有时会耗尽各种操作系统资源限制,特别是在同一系统上运行多个服务器实例或在非常大的安装环境中。此部分解释了 PostgreSQL 使用的内核资源,以及解决与内核资源消耗相关问题的步骤。
【PGCCC】PostgreSQL 死锁揭秘:如何检测与解决死锁问题的详细指南
PGCCC的博客
08-23 962
PostgreSQL 的死锁检测机制通过锁等待图的构建和环路检测,能够有效地识别和处理死锁问题。了解其工作原理和处理策略对于优化数据库性能和提高系统稳定性至关重要。在实际应用中,及时分析和处理死锁情况,并优化数据库操作,可以减少死锁的发生,从而提升数据库的整体效率。
mybatis #和$的区别
09-19
MyBatis中,${}和#{}都是用来替换参数的符号,但它们有以下几个区别: 1. 功能不同:${}是直接替换参数的值,而#{}是进行预处理,并将参数的值设置到预编译语句中。 2. 使用场景不同:通常情况下,我们使用#{}来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值