# {}与${}的区别

最新推荐文章于 2023-10-15 22:28:20 发布
最新推荐文章于 2023-10-15 22:28:20 发布
阅读量77 收藏
点赞数
分类专栏: java 文章标签: sql 数据库 sqlserver
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44727811/article/details/123018184
版权

{}与${}的区别

默认情况下,使用#{}语法,MyBatis会产生PreparedStatement语句中,并且安全的设置PreparedStatement参数,这个过程中MyBatis会进行必要的安全检查和转义。
示例1:

执行SQL:Select * from user where name = #{name}
参数:name=>xin
解析后执行的SQL:Select * from user where name = ?

执行SQL:Select * from user where name = ${name}
参数:name:ke
解析后执行的SQL:Select * from user where name =ke

说明:

将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #{user_id},如果传入的值是 name , 那么解析成sql时的值为order by “name”, 如果传入的值是id,则解析成的sql为order by “id”.

$ 将传入的数据直接显示生成在sql中。如:order by ${user_id},如果传入的值是name, 那么解析成sql时的值为order by name, 如果传入的值是id,则解析成的sql为order by id.

综上所述,$ {}方式会引发SQL注入的问题、同时也会影响SQL语句的预编译,所以从安全性和性能的角度出发,能使用#{}的情况下就不要使用 ${}。

${} 在什么情况下使用呢?

有时候可能需要直接插入一个不做任何修改的字符串到SQL语句中。这时候应该使用${}语法。

比如,动态SQL中的字段名,如:ORDER BY ${columnName}

Select * from name where name = ${name} ORDER BY ${age} 由于${}仅仅是简单的取值,所以以前sql注入的方法适用此处,如果我们order by语句后用了${},那么不做任何处理的时候是存在sql注入危险的。
St Augustine
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybaits中#{}与${}的区别
qq_41708308的博客
05-08 251
  在mybaits中#{}和${}都可以用来传递参数,那么他们有何不同呢,下面来看看他们的是如何执行的,相信你看了之后就会明白他们的区别了。   #{}的方式:   XML文件配置的sql如下: <select id="findCommodityByKeyword" resultMap="BaseResultMap"> SELECT * FROM d_commodity <if test="keyword != null"> WHERE commodity_name LI
Mabitis中的#$符号区别及用法介绍
08-31
主要介绍了Mabitis中的#$符号区别,需要的朋友可以参考下
新人一看就懂: #{} 和 ${} 的区别
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
mybatis中#{}和${}的区别
Zhangsama1的博客
08-27 4632
​1:尽量使用#{},只要能使用#{}解决,尽量使用#{}​2:表名作为参数,使用order by排序的时候使用${}3:多参数的时候尽量使用@Param注解,@Param注解作用为给参数命名,命名后即可根据名字得到对应的参数值​。...
【ibatis】ibatis 中 $#区别
龙腾四海365的专栏
04-06 1541
ibatis 中 $#区别 我们在使用iBATIS时会经常用到#$这两个符号。 一 .#$区别说通俗一点就是          $中间的变量就是直接替换成值的          #会根据变量的类型来进行替换          比如articleTitle的类型是string, 值是"标题"的时候               $articleTitle$ = 标题
#{} 和 ${} 的区别
weixin_45817985的博客
07-13 2962
#{}与${}
#{}与${}的区别
热门推荐
weixin_44863976的博客
09-08 1万+
#{}与${}的区别 区别 1. #{} 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符;而${}仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。 2. #{} 解析之后会将String类型的数据自动加上引号,其他数据类型不会;而${} 解析之后是什么就是什么,他不会当做字符串处理。 3...
浅谈Mybatis #$区别以及原理
08-18
主要介绍了浅谈Mybatis #$区别以及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
浅谈mybatis中的#$区别
09-02
下面小编就为大家带来一篇浅谈mybatis中的#$区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Mybatis中#{}和${}传参的区别#$区别小结
09-02
主要介绍了Mybatis中#{}和${}传参的区别#$区别小结 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
Mybatis下动态sql中##$$区别讲解
08-26
今天小编就为大家分享一篇关于Mybatis下动态sql中##$$区别讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
#{}和${}的区别
qq_44980917的博客
10-02 2317
#{}和${}的区别一、区别汇总1.编译过程2.是否自动加单引号3.安全性二、区别说明1.${}2.#{}3.关于安全性三、如何选择#{}和${} #{}和${}这两个语法是Mybatis实现动态sql的基础,是为了动态传递参数而存在的。总体上他们的作用是一致的(动态穿参),但是在编译过程、是否自动加单引号、安全性、使用场景等方面有很多不同 一、区别汇总 1.编译过程 1.#{}是占位符:动态解析->预编译->执行 2.${}是拼接符:动态解析->编译->执行 #{}作为sql的
mybatis #{}和${}的区别是什么
weixin_30895603的博客
04-16 1586
#{}和${}的区别是什么?正确的答案是:#{}是预编译处理,${}是字符串替换。(1)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值。(2)mybatis在处理${}时,就是把${}替换成变量的值。(3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输...
#{}和${}的区别是什么?
qq_40826814的博客
05-15 7315
osc_kf98pg0d 2020/01/20 14:45 阅读数 3.1K 动态sql是mybatis的主要特性之一,在mapper中定义的参数传到xml中之后,在查询之前mybatis会对其进行动态解析。mybatis为我们提供了两种支持动态sql的语法:#{}以及${}。 面试题:#{}和${}的区别是什么? 1)#{}是预编译处理,$ {}是字符串替换。 2)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatem...
Mybatis常问:#{}与${}的区别
zjjcchina的博客
06-06 2065
查询到数据才可以是登录成功,否则表示登陆失败,但是会有这么一种情况,我们的SQL语句是由我们拼接的,如果用户故意输入可以让后台解析失败的字符串,这就是SQL注入,例如我们输入密码,输入 '''' ' or 1=1'' 这样,他会在后台进行拼接成select count(1) from table where username = 'username' and password = '' or 1=1;由结果可以看出,我们在没有密码的情况下依旧获取到了数据库的私密信息,由此可见${}存在很大的安全隐患。
#{}与${}的区别
weixin_44250157的博客
02-29 599
一.概念:都是SQL中动态的传入参数的方式 #{}:预编译处理,JDBC预编译(prepared statement)语句的参数标记符,先被解析为?参数占位符,之后再通过预编译的set进行赋值。解析之后会将String类型的数据自动加上引号,其他数据类型不会。流程:数据库驱动在发送 sql 语句和参数给 DBMS 之前对 sql 语句进行编译,这样 DBMS 执行 sql 时,就不需要重新编译...
${}和#{}的区别以及${}的sql注入问题
最新发布
acsfvsv的博客
10-15 1010
最近看到了这个问题,然后深入了解了一下这个sql 的注入问题,本片文章将会介绍他们的区别以及sql注入问题。
MyBatis 中 #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1168
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS中 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
MyBatis #$区别
03-31
MyBatis是一种Java持久化框架,它为开发人员提供了一种优雅的方式来访问关系数据库。它将Java对象映射到数据库表中的行,并提供了一种使用XML或注解来编写可重用SQL语句的方法。MyBatis还提供了许多高级功能,如延迟...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值