1.4 Mybatis中占位符#与$的区别

最新推荐文章于 2023-03-14 13:19:13 发布
最新推荐文章于 2023-03-14 13:19:13 发布
阅读量362 收藏
点赞数
分类专栏: MyBatis 文章标签: mybatis
原文链接:http://www.tianshouzhi.com/api/tutorials/mybatis/356
版权

1.4 占位符#与$的区别

在mybatis中,#$的都可以起到变量替换的作用,但是二者的使用场景却是截然不同的。

"#{}"的作用主要是替换预编译语句(PrepareStatement)中的占位符?,例如xml映射文件中,有以下insert语句

<insert id="insert" parameterType="User">
    INSERT INTO user (name) VALUES (#{name});
</insert>

打印的sql日志如下所示:

16:00:00.691 [main] DEBUG com.tianshouzhi.dragon.common.mappers.UserMapper.insert - ==>  Preparing: INSERT INTO user (name) VALUES (?);
16:00:00.750 [main] DEBUG com.tianshouzhi.dragon.common.mappers.UserMapper.insert - ==> Parameters: tianshozhi(String)

​在第1行日志中,可以看到#{name}被替换成了占位符”?”,熟悉jdbc编程的同学,这里使用的肯定是预编译的PrepareSatement。

​而第2行日志显示了最终要替换这个占位符的参数值是字符串类型的"tianshouzhi"。

$

$符号的作用是直接进行字符串替换。

<insert id="insert" parameterType="User">
    INSERT INTO user (name) VALUES ('${name}');
</insert>

效果

16:00:58.642 [main] DEBUG com.tianshouzhi.dragon.common.mappers.UserMapper.insert - ==>  Preparing: INSERT INTO user (name) VALUES ('tianshozhi');
16:00:58.663 [main] DEBUG com.tianshouzhi.dragon.common.mappers.UserMapper.insert - ==> Parameters:

可以看到在sql日志中,#{name}被直接替换成了"tianshouzhi"。

$与#的区别

对于这二者的区别,mybatis官方文档也有相关描述,大致意思与前面的描述相符:

AD2A6C1C-00E5-4589-B380-6E60869B5AD4.png

值得我们注意的是:使用${}存在SQL注入的风险。

​ 例如上面插入insert语句中的name变量,假设是用户注册时填写的,有一个恶意用户,故意将name填写为:tianshouzhi'),('wangxiaoxiao

此时对于使用#{name}情况:

INSERT INTO user (name) VALUES (#{name});

mybatis首先将其#{name}替换成占位符"?",然后用 tianshouzhi'),('wangxiaoxiao 来替换"?",因此用户名就是tianshouzhi'),('wangxiaoxiao

而对于使用${name}的情况:

INSERT INTO user (name) VALUES ('${name}');

由于是直接替换字符串,此时sql变成如下所示:

INSERT INTO user (name) VALUES ('tianshouzhi'),('wangxiaoxiao');

这是mysql的批量插入语法,相当于在数据库中插入了2条记录。

因此在实际开发中,对于用户填写的变量值,我们一定要尽量使用#{},不要轻易使用${}。

典型误解

部分人认为#{}可以防止SQL注入,因此其使用的是jdbc编程中的PrepareSatement。而${}不可以防止SQL注入,因此使用的Satement。

事实上,默认情况下,在mybatis中,#{}、和${},使用的都是PrepareSatement。请读者回看前面两种情况打印出SQL时,前面都有一个Preparing,这就是明显的提示。

事实上<insert><update><delete><select>都有一个statementType属性,取值范围为: STATEMENTPREPAREDCALLABLE 的一个,这会让 MyBatis 分别使用 StatementPreparedStatementCallableStatement

statementType属性的默认值为PREPARED,因此默认的SQL语句都是通过PreparedStatement来执行的。

转载自:http://www.tianshouzhi.com/api/tutorials/mybatis/356

陈菡静
关注
专栏目录
mybatis的#和$使用和区别
学无止境
02-27 908
mybatis的#和$使用和区别
MyBatis系列】Mybatis多表查询与动态SQL
未见花闻的博客
10-20 2807
本篇文章将介绍使用MyBatis进行多表查询以及MyBatis的动态SQL特性。
一文详解Mybatis占位符#和$的区别
Java技术攻略的博客
03-14 618
由上经过源码分析,我们知道Mybatis对#{}占位符是直接转换成问号,拼接预处理 sql。${}占位符是原样拼接处理,有sql注入风险,最好避免由客户端传入此参数。
Mybatis占位符#{}和${}的区别
热门推荐
少侠露飞的学习笔记
07-30 2万+
  #{}是占位符,${}是拼接符。 #{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”. ${}将传入的数据直接显示生成在sql。如:order by ${user_id},如果传入的值是11...
9 方法区
积少成多
08-17 540
Java 8 Lambda表达式
Mybatis的#{}和${}两种占位符区别
Vodkazzz的博客
01-01 569
Mybatis的#{}和${}两种占位符区别 mybatis处理#{} ,使用jdbc对象是 PrepareStatment对象 特点: 使用的PrepareStatement对象,执行sql语句,效率高。 使用的PrepareStatement对象,能避免sql语句, sql语句执行更安全。 #{} 常常作为 列值使用的, 位于等号的右侧, #{}位置的值和数据类型有关的。 ${}占位符 使用Statement对象,执行sql语句,效率低 占位符的值,使用的字符串连接方式(字符串连接,把sql语句
mybatis
qq_36900377的博客
06-29 574
MyBatis 是一款优秀的持久层框架,它支持自定义 SQL、存储过程以及高级映射。MyBatis 免除了几乎所有的 JDBC 代码以及设置参数和获取结果集的工作。MyBatis 可以通过简单的 XML 或注解来配置和映射原始类型、接口和 Java POJO(Plain Old Java Objects,普通老式 Java 对象)为数据库的记录。 github: https://github.com/mybatis/mybatis-3/releases 文档:https://mybatis.org/my
Mybatis常用标签与动态SQL详解
asxyxxx的博客
11-13 1841
mybatis通用查询条件与返回值 1. mybatis查询常用标签 sql标签: if标签: trim标签: prefix=”where”//给第一符合条件的语句 加上前缀where prefixOverrides=”and” //将最后一条语句的 前缀and 覆盖 suffix=”and” //给第一符合条件的语句 加上后缀 and suffixOverrides=”and”//将最后一条语句的后缀 and 覆盖 test标签: include标签: refid标签: where标签 2.样例 <
Mybatis
Create_zy的博客
11-22 1361
一.简介 1.1.什么是 MyBatisMyBatis 是一款优秀的持久层框架,它支持自定义 SQL、存储过程以及高级映射。MyBatis 免除了几乎所有的 JDBC 代码以及设置参数和获取结果集的工作。MyBatis 可以通过简单的 XML 或注解来配置和映射原始类型、接口和 Java POJO(Plain Old Java Objects,普通老式 Java 对象)为数据库的记录。 1.2.基本信息 MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。 1
Mybatis-进阶与动态sql及联合查询
natural_rise的博客
08-03 488
1 #和$的区别 1.1 #{}表示一个占位符,可以进行预编译,类似于JDBC的 id=?这种形式,所以可以有效的防止sql注入问题 1.2 $ ${}用于字符串拼接,作用是将传入的参数拼接在sql语句后面,比如order by id类似于这种的情况,容易遭到sql注入攻击,所以在编程 尽量减少使用. 一般我们使用的是sql的concat函数来 进行拼接操作 1.3 多个参数 当想要传入多个参数的时候,必须加上注解@Param(“参数名”) 参数类型 参数 来传入参数,在sql直接使用参数名即可
Mybatis # 和 $ 占位符区别
qq_42286362的博客
12-23 658
一、# 占位符 语法:#{字符} mybatis处理#{}使用jdbc对象是PreparedStatement对象 <select id="selectStudentById" parameterType="integer" resultType="com.itjuzi.entity.Student"> select id,name,email,age from Student where id = #{id} </select> 即mybat
MyBatis#和$占位符区别
陈东东的博客
11-04 1081
#{value} 使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且在使用#{}时形成的sql语句,已经带有引号。 例如,select * from table1 where id=#{id} 在调用这个语句时我们可以通过后台看到打印出的sql为:select * f...
MyBatis占位符#和$的区别
ShaoXuan_的博客
04-13 457
<select id="findUserById" parameterType="int" resultType="com.itheima.pojo.User"> select * from users where id=#{id} </select> //MyBatis创建出PreparedStatement对象,执行SQL语句 Conncection conn = JDBCUtils.getConnection(); String sql = "select * .
mybatis占位符#{} 和 ${}的区别
a201717的博客
09-17 567
mybatis 之 #{} 和 ${} 的区别 #{}表示一个占位符号,通过 #{} 可以实现 preparedStatement 向占位符设置值,自动进行 java 类型和 jdbc 类型转换。#{} 可以有效防止 sql注入。 #{} 可以接收简单类型值或 pojo 属性值。 如果 parameterType 传输单个简单类型值,#{} 括号可以是 value 或其它名称。 Map...
mybatis 参数占位符#{}与${}的区别
zengwl756649007的博客
01-05 411
mybatis 参数占位符#{}与${}的区别 1、#{}传入的是字符串,会自动加上引号 如:name=张三,select * from table where name=#{name},则执行:select * from table where name='张三' 2、${}传入的就是字符本身,不会加引号,所以会有sql注入的风险。 如:name=张三,select * from table where name=#{name},则执行:select * from table where name
经验积累-Mybatis-${}占位符和#{}占位符区别
lzhlove的博客
02-09 763
$替换具体的值,#做SQL预编译替换,使用preparestatement
MyBatis使用 # 和 $ 书写占位符区别说明
10-10 417
#将传入的数据都当成一个字符串,会对传入的数据自动加上引号; $将传入的数据直接显示生成在SQL 注意:使用 $ 占位符可能会导致SQL注入攻击,能用#的地方就不要使用 $ 写order by 子句的时候应该用 $ 而不是# 补充知识:mybatis 生成的字段不带引号 #{}和${} 最近在用mybatis,之前用过ibatis,总体来说差不多,不过还是遇到了不少问题,再次记录下, 比如说用#{},和 ${}传参的区别, 使用#传入参数是,sql语句解析是会加上"",比如 select
forever_2h mybatis占位符#{} 和 ${}
wscrf的博客
03-27 357
#{}占位符用来设置参数,参数的类型可以有3种,基本类型,自定义类型,map基本类型作为参数,参数与占位符的名称无关。&lt;select id="findById" parameterType="int" resultType="cn.wh.vo.Role"&gt; select * from t_role where id = #{xxxid} &lt;/select...
MyBatis#号和$号的区别
m0_67393413的博客
08-29 293
占位符呢,等同于JDBC里面一个号占位符,它相当于向PreparedStatement的里面预处理语句设置参数,而PreparedStatement里面的SQL语句它是预编译的,那么SQL语句呢使用了占位符,规定的SQL语句的一个结构,并且在设置参数的时候,如果有特殊字符会自动进行转义,所以#号占位符可以防止SQL注入;$号占位符呢,在传递参数的时候,相当于直接把参数拼接到了原始SQL里面,MyBatis不会对它进行特殊处理;...
mybatis使用#和$书写占位符有什么区别
最新发布
06-06
MyBatis使用#和$书写占位符有什么区别? 在MyBatis,使用#和$书写占位符都是用来替换SQL语句的参数,但是它们的功能和作用是不同的。#代表参数预处理,它会将传入的值自动封装成对应的Java类型,可以防止SQL注入攻击,但是不能直接替换表名和列名。$代表参数直接替换,它会将传入的值直接替换到SQL语句,可以用于替换表名和列名,但是容易发生SQL注入攻击。因此,在使用时需要根据具体情况选择使用哪种占位符
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值