Mybatis——#{}和${}的区别

最新推荐文章于 2024-08-23 15:54:50 发布
最新推荐文章于 2024-08-23 15:54:50 发布
阅读量5.1w 收藏 145
点赞数 77
分类专栏: Mybatis 文章标签: mybatis java mysql
版权所有,庆威专有
本文链接:https://blog.csdn.net/weixin_44688973/article/details/125671926
版权

在使用mybatis的时候我们会使用到#{}和${}这两个符号来为sql语句传参数,那么这两者有什么区别呢?

  1. #{}是预编译处理,是占位符,${}是字符串替换,是拼接符

  2. Mybatis在处理#{}的时候会将sql中的#{}替换成?号,调用PreparedStatement来赋值
    如:

select * from user where name = #{userName};

设userName=yuze

看日志我们可以看到解析时将#{userName}替换成了 

select * from user where name = ?;

然后再把yuze放进去,外面加上单引号

  1. Mybatis在处理 的 时 候 就 是 把 {}的时候就是把 {}替换成变量的值,调用Statement来赋值
    如:
select * from user where name = #{userName};

设userName=yuze

看日志可以发现就是直接把值拼接上去了

select * from user where name = yuze;

这极有可能发生sql注入,下面举了一个简单的sql注入案例
这是一条用户的账号、密码数据
在这里插入图片描述

当用户登录,我们验证账号密码是否正确时用这个sql:

username=yyy;password=123

select * from user where username=${username} and password=${password}

显然这条sql没问题可以查出来,但是如果有人不知道密码但是想登录账号怎么办

我们不需要填写正确的密码:

密码输入1 or 1=1,sql执行的其实是

select * from user where username='yyy' and password=1 or 1 =1

  1. #{}的变量替换是在DBMS中、变量替换后,#{}对应的变量自动加上单引号

  2. 的 变 量 替 换 是 在 D B M S 外 、 变 量 替 换 后 , {}的变量替换是在DBMS外、变量替换后, DBMS{}对应的变量不会加上单引号

  3. 使用#{}可以有效的防止sql注入,提高系统的安全性

向着百万年薪努力的小赵
关注
  • 77
    点赞
  • 145
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 107
    评论
专栏目录
新人一看就懂: #{} 和 ${} 的区别
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
Springboot项目搭建以及整合mybatis——eclipse
01-04
Mybatis 可以使用简单的 XML 或注解进行配置和原始映射,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java 对象)映射成数据库的记录。 整合 SpringBoot 和 Mybatis 需要以下步骤: 1. 添加 Mybatis ...
Mybatis#{}和${}的区别
洋成林
05-12 4075
1、生成执行sql以及sql安全方面: (1)使用#{}格式的语法,在mybatis会使用Preparement语句来安全地设置值,跟踪断点会看到即将执行的sql用“?”做占位符,执行sql类似于   PreparedStatement ps = conn.prepareStatement(sql); ps.setInt(1,id);   同时,#{}写法会将传入的数据都当成一个字...
彻底搞懂MyBaits#{}和${}的区别
热门推荐
緑水長流*z
07-11 2万+
MyBatis的`#{}`之所以能够预防SQL注入是因为底层使用了`PreparedStatement`类的`setString()`方法来设置参数,此方法会获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则会在前面加上一个`'/'`代表转义此符号,让其变为一个普通的字符串,不参与SQL语句的生成,达到防止SQL注入的效果。 **其次`${}`本身设计的初衷就是为了参与SQL语句的语法生成**,自然而然会导致SQL注入的问题(不会考虑字符过滤问题)。
#和$的区别
C18298182575的博客
07-13 9472
MyBatis:#和$的区别 一、结论   #{}:占位符号,好处防止sql注入   ${}:sql拼接符号 二、具体分析 动态 SQL 是 mybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } 和 ${ } 会有不同的表现。 #{ }:解析为一个 JDBC 预编译语句(prepa
# 和 $ 的区别
薛定谔的猫的博客
07-25 2110
预编译处理:Mybatis在处理#{}时候,会将SQL的#{}转换为?,使⽤ PreparedStatement 的 set ⽅法来赋值。直接替换:是MyBatis 在处理 ${} 时,就是把 ${} 替换成变量的值。
MyBatis#{}和${}的区别
m0_67683346的博客
02-28 4785
MyBatis#{}和${}的区别
【ibatis】ibatis $与#的区别
龙腾四海365的专栏
04-06 1603
ibatis $与#的区别 我们在使用iBATIS时会经常用到#和$这两个符号。 一 .#与$区别说通俗一点就是          $间的变量就是直接替换成值的          #会根据变量的类型来进行替换          比如articleTitle的类型是string, 值是"标题"的时候               $articleTitle$ = 标题
springMVC整合MyBatis——SSM
03-13
MyBatis是一个轻量级的持久层框架,它将SQL与Java代码分离,通过XML或注解方式配置和映射原生信息,将接口和Java的POJOs(Plain Old Java Objects,普通的Java对象)映射成数据库的记录。MyBatis消除了几乎所有的...
第一个mybatis程序——CRUD
04-07
2. **创建项目结构**:创建一个新的Maven项目,设置好`pom.xml`文件,引入MyBatis的核心库和数据库驱动。例如,对于MySQL,你需要添加以下依赖: ```xml <groupId>org.mybatis <artifactId>mybatis ...
Mybatis实例——可直接导入eclipse运行
09-22
这个实例是为方便开发者在Eclipse环境快速上手和运行Mybatis而设计的。 在Eclipse运行Mybatis实例,首先需要确保你已经安装了Eclipse IDE,并且配置好了Java开发环境。以下是一步步的步骤: 1. **创建项目**:...
MyBatis入门】—— MyBatis日志
08-10
这篇博客“【MyBatis入门】—— MyBatis日志”旨在帮助初学者理解如何在MyBatis配置和使用日志功能,以便于调试和优化应用程序。 在MyBatis,日志系统对于跟踪SQL语句和参数,以及检查执行效率至关重要。...
#{} 和 ${} 的区别
weixin_45817985的博客
07-13 3112
#{}与${}
Mybatis的${}和#{}区别
web18484626332的博客
08-02 8801
动态sql是mybatis的主要特性之一,在mapper定义的参数传到xml之后,在查询之前,mybatis会对其进行动态解析。mybatis为我们提供了两种支持动态sql的语法#{}以及${}提示以下是本篇文章正文内容,下面案例可供参考。...
#{}与${}的区别
weixin_44863976的博客
09-08 1万+
#{}与${}的区别 区别 1. #{} 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符;而${}仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。 2. #{} 解析之后会将String类型的数据自动加上引号,其他数据类型不会;而${} 解析之后是什么就是什么,他不会当做字符串处理。 3...
mybatis #{}和${}的区别是什么
weixin_30895603的博客
04-16 1608
#{}和${}的区别是什么?正确的答案是:#{}是预编译处理,${}是字符串替换。(1)mybatis在处理#{}时,会将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值。(2)mybatis在处理${}时,就是把${}替换成变量的值。(3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输...
mybatis#{}和${}的区别
Zhangsama1的博客
08-27 4690
​1:尽量使用#{},只要能使用#{}解决,尽量使用#{}​2:表名作为参数,使用order by排序的时候使用${}3:多参数的时候尽量使用@Param注解,@Param注解作用为给参数命名,命名后即可根据名字得到对应的参数值​。...
mybatis的#{}和${}的区别
勿视人非 的专栏
05-21 3926
1. 取值范围不同 MyBatis既可以获取执行SQL时插入的请求参数,也可以从主配置文件加载的配置文件获取配置参数。 #{}只能获取请求参数的值,无法获取配置参数。 ${}在MyBatis初始化时能获取配置参数,如果没有,执行时再获取请求参数。 2. 处理方式不同 #{} 如果SQL只有#{}或者可以被配置参数替换的${},那么在初始化时#{}就被解析成了占位符?。 如果SQL有动态标签(例如if,where),或者无法被配置参数替换的${},那么#{}在执行SQL时才会被替换成占位符?。#{}的
开发多线程程序时,需要注意那些问题
最新发布
OO_SEN的博客
08-23 501
线程安全 竞态条件(Race Condition):当多个线程同时访问和修改共享资源时,可能会出现竞态条件,导致不确定的行为。需要通过同步机制(如互斥锁、读写锁、原子操作)来保护共享资源。 死锁(Deadlock):当两个或多个线程相互等待对方释放锁时,程序会陷入死锁状态。避免死锁的一些策略包括:避免嵌套锁、确保加锁顺序一致、使用超时机制等。 活锁(Livelock):与死锁不同,活锁是指线程不断地尝试获取资源但总是失败,导致无法继续执行。避免频繁重试操作或使用退避算法可以减少活锁的发生。 优先级反转(P
为什么使用mybatis——plus不用jdbc
04-11
Mybatis-Plus是一个增强版的Mybatis框架,它提供了许多基于Mybatis的增强功能,使得开发更加高效和方便。相比于JDBC,Mybatis-Plus抽象出了SQL语句的编写过程,避免了手写SQL语句带来的错误和不便。此外,Mybatis-Plus还提供了许多常用操作的封装,如分页、排序、条件查询等,大大提高了开发效率。因此,使用Mybatis-Plus能够让我们更加专注于业务逻辑的实现,而不用过度关注SQL语句的编写和数据访问层的细节。
评论 107
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

向着百万年薪努力的小赵

感谢大佬,大佬步步高升

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值