在MyBatis中#{}和${}的区别

最新推荐文章于 2024-09-21 23:33:54 发布
最新推荐文章于 2024-09-21 23:33:54 发布
阅读量1k 收藏
点赞数
文章标签: sql 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44455654/article/details/121830868
版权

#{}

#{}是一种占位符的方式把参数部分用占位符?代替。
动态解析为:

解析前:select * from user where name = #{name}
解析后:select * from user where name = ‘姓名’

而传入的参数将会经过PreparedStatement方法的强制类型检查和安全检查等处理,最后作为一个合法的字符串传入。

${}

${}是一种字符串拼接的方式。

解析前:select * from user where name = ${name} 解析后:select * from user
where name = 姓名

这样在预编译之前的sql语句已经不包含变量了,因此可以看出${} 变量的替换阶段是在动态SQL解析阶段。

区别

(1)、是否预防SQL注入
以上不同的处理方式可以看出,#{}预处理之后可以预防SQL注入,而传入的参数将会经过PreparedStatement方法的强制类型检查和安全检查等处理,最后作为一个合法的字符串传入;而${}在预编译之前就已经被替换,有被注入的风险。
(2)、性能处理方面
因为预编译语句对象可以重复利用,把一个sql预编译后产生的PreparedStatement对象缓存下来,下次对于同一个sql,可以直接使用缓存的PreparedStatement对象,mybatis默认情况下,对所有的sql进行预编译,这样的话#{}的处理方式性能会相对高些。

总结

  1. 能使用#{},就使用#{},一般情况下不仅效率高而且防止sql注入。
  2. 表名、order by的排序字段作为变量时,使用${}。
  3. #不需要关注数据类型,mybatis实现自动数据类型转换;$不做数据类型转换,需要自行判断数据类型。
  4. #是预编译的方式,$是直接拼接。
思c。
关注
mybatis的#和$使用和区别
学无止境
02-27 909
mybatis的#和$使用和区别
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助...综上所得,在Mybatis下动态sql##和$$的区别是非常重要的,correctly使用#{ }和${ }可以避免SQL注入问题,并提高应用程序的安全性。
浅谈Mybatis $与#的差异
hayhing的博客
08-20 368
1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'.  2 $是将传入的数据直接显示生成sql语句,eg:select id,name,age from student w...
mybatis #与$的区别
qq_40026782的博客
12-25 293
在之前我对mybatis的#与$的理解,就是#能够防止sql注入,而$是可能会产生sql注入的问题。也就是说#传入参数的时候会给我们的参数加上引号,当参数传入。 但是由此的面试 有面试官问我他们的区别的时候我说了防sql注入,但是不全面。所以我请教了他。还有关于预编译的情况,对于#,虽然能够防止sql注入,但是它只是预编译,然后才会把数据插入sql语句,所以在安全要求不高、要求速度的情况下
Mybatis实战:#{} 和 ${}的使用区别数据库连接池
LHY537200的博客
08-02 1714
{} 和 ${}#{} 和 ${} 在MyBatis框架都是用于SQL语句参数替换的标记,但它们在使用方式和处理参数值上存在一些显著的区别。特点1.1Interger类型的参数1.先看Interger类型的参数2.观察日志3.查看日志的输出语句我们输⼊的参数并没有在后⾯拼接,id的值是使⽤?进⾏占位. 这种SQL 我们称之为"预编译SQL"。4.我们把#{}改成${}5.再次查看输出日志信息可以看到, 这次的参数是直接拼接在SQL语句了。
工作发狂:Mybatis $和#千万不要乱用!
Java后端技术
05-08 844
点击上方“Java后端技术”,选择“置顶或者星标”你关注的就是我关心的!作者:程序猿的内心独白开头这是一次代码优化过程发现的问题,在功能优化后发现部分数据查不到出来了,...
Mybatis#号与$比较
weixin_42672802的博客
01-09 500
mybatis,使用#{}会对sql语句进行预处理,而${}则是字符串拼接。#{}的sql,在一定程度上会防止sql注入攻击。而$,则只是字符串拼接,无法防止sql注入攻击。 一般情况下,能使用#{}就不要使用${}. 由于,#{}使用PreparedStatement设置参数,会对字符串进行转义,前后拼接单引号。此时这个字符串就是一个字符串。无法表示列名。所以#{}这种方式,是不支持数据库关键字相关操作设置。 而${}是字符串拼接,不会对字符串进行特殊处理。所以可以支持数据库关键字相关操作设置。
mybatis#{}和${}的区别 (二)
weixin_30363981的博客
04-19 96
mybatis#{}和${}的区别 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率.也叫JDBC存储过程 2.使用Statement对象。在对数据库只执行一次性存取的时侯,用Statement对象进行处理。PreparedStatement对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3.statement每次执行...
浅谈Mybatis #和$区别以及原理
08-18
Mybatis,#和$都是占位符,但是它们的作用和处理机制不同。#号将所有传入的参数作为一个字符串来处理,而$号则将传入的参数拼接到SQL语句执行。这两个占位符的使用场景和风险也不同,#号可以防止SQL注入,而$...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
java面试题 Mybatis#和$的区别
樂小伍
10-16 1190
Mybatis#和$的区别 https://www.cnblogs.com/wslook/p/9185448.html #{}:占位符号,可以防止sql注入(替换结果会增加单引号‘’),相当于 ? 占位符 ${}:sql拼接符号(替换结果不会增加单引号‘’,like和order by后使用,存在sql注入问题,需手动代码过滤) 能使用 #{ } 的地方就用 #{ } 首先这是为了性能考虑...
MyBatis的$和#,用不好,准备走人!
Java技术栈,分享最主流的Java技术
06-11 792
作者:程序猿的内心独白 https://m.toutiaocdn.com/i6685496024770806280 这是一次代码优化过程发现的问题,在功能优化后发现部分数据查不到出来了,问题就在于一条sql上的#和$。 下图为两条sql: 从图上可以看出 wwlr.LabelId in(${showLabels}) 和 wwlr.LabelId in(#{showLabels}),其showLabels是传进来一个字符串类型的参数,参数的样子是这样的“4,44,514”,问题就出在这个参数传进来后.
MyBatis - #{} 和 ${}
最新发布
m0_74859835的博客
09-21 709
mybatis - #{ } 和 ${ } 的使用区别,预编译SQL 和 即时SQL 的优缺点,及SQL注入问题
mybatis#与$的区别、一二级缓存以及mysql隔离级别、mybatis与hibernate区别
weixin_50643050的博客
06-06 924
1.${} 就是字符串替换。直接替换掉占位符。$方式一般用于传入数据库对象或固定变量,例如传入表名,例如字段名 2.使用 ${} 的话会导致 sql 注入。什么是 SQL 注入呢?比如 select * from user where id = ${value} 3.value 应该是一个数值吧。然后如果对方传过来的是 001 and name = tom。这样不就相当于多加了一个条件嘛?把SQL语句直接写进来了。如果是攻击性的语句呢?001;drop table user,直接把表给删了。
mybatis深入理解之#与$区别(十)
Jay的博客
08-01 182
mybatis 使用 Mapper.xml里面的配置进行 sql 查询,经常需要动态传递参数,例如我们需要根据用户的姓名来筛选用户时,sql 如下: select * from user where name = "Jack"; 上述 sql ,我们希望 name 后的参数 “Jack” 是动态可变的,即不同的时刻根据不同的姓名来查询用户。在 Mapper.xml文件使用如下的 sql 可以实现动态传递参数 name: select * from user where name = #{name};
Mybatis】深度解析MyBatis#和$的差异
AliceNo的博客
01-03 1922
MyBatisSQL语句的构建是一个关键的环节,而参数的传递则是其一个重要的考虑因素。在MyBatis,我们通常使用和两种不同的参数替换方式。这两种方式在SQL语句的执行有着不同的作用和安全性考虑。在本文,我们将深入探讨和的区别,以及它们在实际应用的使用场景和注意事项。在MyBatis选择合适的参数替换方式对于应用程序的性能和安全性至关重要。提供了一种预编译的方式,有效防范了SQL注入攻击,是一个更为安全的选择。而则是直接将参数值拼接到SQL语句,需要谨慎使用以防止潜在的安全风险。
MyBatis#与$的区别深度解析
weixin_52721608的博客
01-28 571
MyBatis,#和$分别代表预编译参数和字符串拼接。它们在处理SQL语句的参数时有着不同的行为。MyBatis#与的区别主要在于预编译参数和字符串拼接的处理方式。使用#可以确保SQL代码的安全性,但可能会影响性能;使用可以提高性能,但需要注意防止SQL注入攻击。在实际开发,应根据具体需求选择合适的符号。希望本文能够帮助读者更好地理解和使用MyBatis的#与$。
mybatis#和$的区别
06-07
MyBatis,#和$都是用于替换SQL语句的占位符的符号,但它们的处理方式不同。 #号表示占位符,通过预编译的方式将传入的参数值进行安全的替换,防止SQL注入攻击,同时将参数值转换为对应的JDBC类型。例如: ``...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值